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首先 要 感谢 读者 长 期 以 来 的 支持 与 爱护 ! 这 套 书 仍 然 采 用 我 一 贯 秉承 的 编写 风格 ， 也 就 
是 完全 站 在 读者 立场 来 思考 ， 并 且 以 务实 的 精神 来 改编 升级 这 三 本 Windows Server 2016 套 
书 。 我 花费 了 相当 多 的 时 间 在 不 断 地 测试 与 验证 书 中 所 叙述 的 内 容 ， 并 融合 多 年 的 教学 经 
验 ， 然 后 以 最 容易 让 您 理解 的 方式 将 其 写 到 书 中 ， 希 望 能 够 帮助 您 迅速 地 掌握 Windows 
Server 2016。 


本 套 书 的 宗旨 是 希望 能 够 让 读者 通过 书 中 丰富 的 示例 与 详尽 的 实用 操作 来 充分 地 了 解 
Windows Server 2016， 进 而 能 够 轻松 地 管理 Windows Server 2016 的 网 络 环境 ， 因 此 书 中 不 但 
理论 解说 清楚 ， 而 且 范例 充足 。 对 需要 参加 微软 认证 考试 的 读者 来 说 ， 这 套 书 更 是 不 可 或 缺 
的 实用 参考 手册 。 


学 习 网 络 操作 系统 ， 首 当 其 冲 在 动手 实践 ， 唯 有 实际 演练 书 中 所 介绍 的 各 项 技术 才能 充 
分 了 解 与 掌握 它 ， 因 此 建议 您 利用 Windows Server 2016 Hyper-V 等 提供 虚拟 技术 的 软件 来 拱 
建 书 中 的 网 络 测试 环境 。 


本 套 书 分 为 《Windows Server 2016 系 统 配置 指南 》《Windows Server 2016 网 络 管理 与 架 
站 》《Windows Server 2016 Active Directory 配 置 指南 》 三 本 ， 内 容 丰 富 扎 实 ， 相 信 这 几 本 书 
仍然 不 会 辜负 您 的 期 望 ， 在 学 习 Windows Server 2016 时 给 予 您 最 大 的 帮助 。 

感谢 所 有 让 这 套 书 能 够 顺利 出 版 的 朋友 们 ， 包 含 给 予 宝 贵 的 意见 、 帮 助 版 面 编排 、 支 持 
技术 校 稿 、 出 借 测 试 设备 或 提供 软件 资源 等 各 方面 的 协助 。 


戴 有 炜 


第 :4 章 ”Widdows:Seer2016 入 述 .ooavorverraoeavrvoarseiaaaooaaaigEoagiagyreaeagapsypaathaaegaii 人 ao 古 1 
lvWindowsSeiver2016 版 本 sasoaiaeeaw0aeaoeaaan 全 忆 过 
1.2.Windows 网 络 架 构 .wweaaawwsnaweetsaweuoemaaasvaaaaawoaa 人 全 和 交 训 生生 osoions 2 

8244… 王 作 组 架构 的 网 络 orrarvoopeaaviewaaiaaaovoneaaatauoinaani 衣 和 全 的 且 全 全 和 全 ve 才 
1.2.2 虐 架构 的 网 络 -arrpoaaaroaeasneaaoaaaaeaanndn 二 全 全 生生 和 全 soonoiv 3 
12.3 城中 计算 机 的 种 类 aaaaaaaroarmaeaaasraaoaaeayoais 有 人生 生生 sa。 4 
13 TCRB/P 通 信 协 议 街 介 .wearmaaoeaeeyraraaaeamwiaaaoeoomaaeoaon 本 人 二 全 二 二 人 和风 交 本 E 
3 和 4 一 理 地 赴 anaawwweeyespaaaaawaaeaEEaoa 6 
32 惠 地 福 分 关 asroeaagpaaowaaaoipiorRooaaonaa 6 
13.3… 寺 网 邱 砚 cosesireaaaeeoPaae 8 
.34 村 认 网 闫 ThaawiassRwaiovaaistsovow0a5i5RVEaEwURGTGE 二 和 二 全 全 9 
清醒 的 使 用 aaaameroosatraotaiooraaaeeoerianoaaaeroan 全 乓 区 后 辣 直下 导 基 na 10 
第 2 理 | 安 蜂 MihdowS' 36rVenrn2046:rrnewirvienarEnwemiriwaaiiniznaannEHSIRn 11 
2 一 交 区 的 注 本 于 项。 aeeecoeieoaieeooieSTAER 和 RS 着 
2.1.1 - 双 indowsServer2016 的 安 半 选项 or 12 
2.12 WindowsServer2016 的 系统 策 尖 二 训 Rain 是 12 
13 -先生 三 站 好 区 AaronavaeiiaREyaRA 14 
2.1.4- Windows Server 2016 的 实 作 系 就 wearaoaaiaansHaana 仙人 和 Er 二 16 
2.2 安装 或 天 级 为 友 indows Server 2016 ， sonnirnvnroranaasoaainni5 二 ER 全 再 交 二 16 
22 泪 - 利用 吕 盘 来 启动 计 关 机 与 执行 妥 装 程序 .sanoiaieiiiieosii 瑟 天- 训 琶 放 本 5 17 
2232 = 在 更 有 的 Wo 有 杭 骨 妆 汪 20 
23， 月 动 与 使 用 Windnwas Server2016.0oooveoeaia 证 二 23 
2.5. 王 2 启动 与 全 有 杂 太吉 lows Server 2016.oovaraaasiennasiiaieaoaiaiadanaselmsnasavaieaaossittdposrsnow 训 23 
232 耻 动 在 床 生 入 经 过 签 才 二 26 
2.33 往 丁 局 剑 炉 关 李 aa 27 

第 吧 章 -…WindowsServer 2016: 基 本 环境 设置 :rr 29 

二 本村 归 亲 及 本 总 信和 全 区 乓 证 靖 区 生生 庆 交 有 半 和 疫 交 让 让 30 


-二 Windows Server 2016 系统 配置 指南 


4 


3 本 


3.4 


3 


3.6 
汪 


3.8 


3 


3 30 
3 此 二 二 和 相 大生 的 天 ti 31 
计算 机 各 与 了 CBE 机 是 2 32 
3 32 
SO 有 机 生 革 本 天 克 生 33 
人 41 
345 站 AT 二 41 
3 通过 人 浊 夺 省 工 网 全 汪汪 42 
2393ADST WSI 网 ERAAA 和 全 全 二 区 和 se 43 
让 45 
3 用 WeSewoe2010O erosionieueaiiacs 攻 人 基本 46 
类 二 所 拘 作 位 宏 RE seenini 妆 和 光 机 克昌 SR 本 。 47 
人 ON 48 
2 49 
3 不 WaS 了 和 宙 的 页 叔 交 全 认 本 二 oo 区 寅 二 辣 和 光志 49 
得 体 繁 NREC 5 
23 52 
人 52 
Se 5S3 
的 种 尖 Se 53 
和 的 本 5 
RPR 55 
和 4 
由 站 才 首相 帮 让 和 作 生机 rnr 有 和 区 
RS 二 ne 缚 六 大 生生- 汪 57 
ER 条 
Ne 和 me 人生 58 
5 59 
本 60 
WO 60 
化 从 环 二 了 本 人 61 
39T -要 玖 管理 逢 机 全 see 攻 玫 5 61 
59 于 入 机 本 62 
3 64 


第 4 章 


4.1 


4.2 


4.3 


4.4 
第 5 章 


汪 | 
3 


本 


5.4 
| 
3.6 


第 6 章 


6.1 


Si 65 
本 有 70 
Er0W 枚 人 es P 让 必 入 让 个 语 Tt 区 71 
ETA ts 入 71 
二村 全 全 于 生生 亲 于 表 站 相伴 于 相生 这 生生 由 让 pn 作 CE 71 
二 ps 
二 类 用 已 朵 的 国企 攻 人 攻 人 人 全 人 本人 富 全 和 全 和 全 72 
2 有 记 有 人 72 
下 74 
2 有 六 攻 产 学 更 二 省 75 
ER 75 
家 生计 寺 和 人 daoa 和 76 
4 二 双开 和 是 汪汪 全 生生 生生 生生 人 仆人 区 克 78 
机 作 管 动 间 相间 天 起 轨 姑 让 全 全 全 作 人 生 人 79 
二 二 再 际 帮 的 天 天 二 丰 人 仆仆 村 全 让 宙 仆仆 个 下 仆仆 全 仙 全 下 生生 这 六 80 
碟 拟 环境 的 措 玖 win 和 碟 专人 82 
的 机 全 须 林 RE 册 0 三 全 人 汪 Re 入 83 
aa 84 
2 84 
5 85 
渤 这 让 交 入 防 向 开 拟 箭 王 恬 四 和 乓 于 seoninpeaairaawsozninnrrninaiiaSaaEESSESRD 二 86 
让 和 的 86 
SSGYer2016 诺 报 抽 5 senseopAanaaa5cnieasEaaZAAREE SA 88 
PT 业 3 94 
进 二 HE 二 机 过 本 和 IRDet OSI 和 99 
本 IE 101 
如 让 二 攻 全 全 全 让 全 于 118 
CD 有 119 
6.11 一 ActvweDiectory 的 运用 范 国 (SeogeJ ww 本 全 六 十 二 宝 119 
Cl 人间 由 we 119 
613 洒 TDObjsoy -与 属性 民 RDO 相 ReRR 证 人 人 120 
6.1.4 容器 (Container ) 与 组 织 单位 (Organization Units，OU ) 120 


-二 Windows Server 2016 系统 配置 指南 


6.2 


6.3 


6.4 


6.3 


6.6 
6.7 
6.8 


ee 121 
RN 122 
的 123 
ER 让 生生 让 二 生生 123 
0 124 
6.1.10 轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol，LDAP ) .see 124 
和 国 员 民生 125 
下 126 
症 长 荫 人 信 让 全 二 由 风 寺 RS 寺 二 生 人 生 129 
护 汪 二 和 7 二 生生 < RUI SERIES CA 128 
5 128 
Ht 129 
本 130 
3 坝 答 革 二 光 拓 2 全 全 人 人 区 no2EEPpx 2 到 134 
和 136 
于 141 
3 壮 双 襄 dg 计生 因 公开 二 aaa 于 和 此 于 于 姑 吉 ,< 141 
有 145 
0 146 
芝 理 上 Eie 本 域 用 卢 王 户 二 全 六 有 全 有 人 和 全 下 146 
区 尝 直 veDiectoy 莹 理 天 其 Too oa ee 146 
E42 共和 相 成 员 科 和 荔 栅 内 的 Active Direetoiy 管 理工 具 .io ee 147 
全 150 
用 表 几 赂 张 让 芝 叉 天 抽 科 于 测 关 六 二 语 证 全 6 4 居 人 154 
作 人 157 
仆人 机 是 素 天 罗技 与 此 水 补 基 本人 十 二 全 158 
入 惠 大 二 全 本 二 纵 几 类 1$S9 
让 159 
人 160 
6531 ,后 绍 的 建立 与 驴 理光 汪 nnaaoninrviaanmniiaaaoiesi 二 汪 二 7 161 
6 二 DSS 认 于 的 扰 组 ournaaoizoneeorioanaaa2 是 本 区 帮 全 全 二 162 
反 和 城 怀 林 动 胡 有 级别 二 卫生 让 二 164 
AR 全 咏 国 收 让 onnarnnaornsoaana 居于 本 人 有 可 165 
删除 域 控 制 沽 于 域 二 ns 169 


广大 章 、 NTESISRSES 而 可 的 雪 全 与 竹 理 二 oo 二 全 二 人 174 
TENIES STRESS 私人 网 种 区 175 
人 175 
你 站 二 二 < 二 人 二， 旋光， 全 让 放 OyECRNRN 估 My 175 

7 用 用 榴 有 且 民 卫生 信人 企 入 全 人 仆人 入 写 2 176 
六， 入 二 生计 人 ESrprot 和 FT 于 TORRER 和 直下 176 
六 Ra 和 sr 生生 176 
2 176 

3 了 用 区 上 
这 主人  SPOESIEeoeChhepAr PR 和 Sn 人 cr 和 CocoreotheRESEP Tree Re 177 
732 不 站 司 天 生火 机 友人 RCR 交 站 各 本 本 放 天 天 坟 仙 仆仆 入 人 全 各 仙 设 和 179 
二 180 
人 之 5 0 必 二 帮 天 TEA 180 
有 大 而 用 用 入 民 和 182 
TI 183 
SSE 全 184 
Re 省 交手 让 内 让 人 让 汪 于 2 人 AL 仙 st 186 
ITRTRNS 于 人 186 
0 188 

全 同 ee 190 
7 对 喜人 件 与 祥 梓 亚 姑 密 二 Reoaoeicaooiiod 昧 你 示 要 碳 从 加 夫 中 访 3， 章 190 
ZI 我 术 其 他 两 户 二 风 旋 取 和 语 交 区 林 191 
7 192 

7 Ga 用 过 动 且 类 瑟 Ra 193 
ROGER 193 
2 194 

5 本 区 于 术 站 和 攻 乔 贡 汪 201 
大 全 志 并 汪 天 和 人 202 
(让 大 203 
TO 生生 本 棋 的 府 汪 下 203 
TI0.31 监控 楷 一 伍 用 户 的 三 间 到 频 生 用 情 疯 .ee 205 
第 区 章 二 访问 网 放 文件 二 二 Re 206 
汪 0 让 MA < 全 册 SI 让 全 让 和 和 NE 仙人 rd 和 用 二 所 Er 全 人 各 下 207 


| Windows Server 2016 系统 配置 指南 


52.. 共 尝 文 作 交 二 nan 本 村 局 本 志 地 全 的 30R 二 23 靖 208 
82 夫人 作 内 的 状 限 :aamesewsytGEEEaRRahetusladeaieeiaesjaeaaauraweaaasakesgen 209 
2 有 aa 210 

8 的 坷 过 与 管理 懒 SEE 211 
aa 211 
SP 214 
aaa 215 
4 215 
3 用 汉文 体 类 RiewRRGRAEDoAERESEgwgasani 215 

二 戎 岂 和 旺 行 内 疝 网 络 人 用 与 共 末 天 村 类 nianpaeewow 219 
SET 用语 由 有 现 下 接 网 络 和 计算 机 asianaaaasaadwogausagpagaaiwswesauwaiiiieeganaaeana 217 
8.4.2 ”利用 网 络 驱动 器 来 连接 网 络 共享 文件 天 ,ssesssssssssssssesnsesstesasssneasssassanssesnsssseeessseons 221 
3 -他 下 生 网 络 基 过 燃放 天 的 攻 法 aaaasaiaawimeapvogaaggweoowwwWnawuws 224 
Sa 224 

SS 订 机 文件 二 宝 村 贡 刘 aasdsoeusupvaaspaoausiuuruusrrwcunagiraaaragywgrtpaaEaeepooaaoe 225 
本 网 东 于 生机 天 的 帮 机 于 件 访 天 二 aRREOoRTacayaanaAR 226 
SS 全 229 

6 有 231 
8.6.1 网 络 计算 机 如 何 启用 “共享 文件 夹 的 卷 影 副本 ”功能 .se 232 
SA 产 唤 生 订 入 网 1 才 彩 到 未 “的 详 作 :ooaasreronowomiorivoipoaaeadioaeaeaapraaaraaapmasiopair 234 

拓 国 本 打 员 展 和 后 的 本 本 与 每 理 waeaewrwaiomavooeweos 作 术 二 各 古 吉庆 玖 | 236 

Si seaa eaasiy 玖 让。 237 

和 238 
22 不 并 办 生 2 ns 全 人 全 orvaaveeroneapevsoyaspaosaaezosboaigoaeiGe 238 
站 242 

0 243 
9.3.1 利用 组 策略 将 共享 打印 机 部 署 给 用 户 或 计算 柄 ,sseresrsinaeesseeessnssssnsnsnnssnsnnsssesensossens 243 
05 有 244 
3 全 用 必 过 因果 划 乱 阿 于 ”连接 共享 打印 梳 ，arorirsaeinrrnsansiienninna No 245 
1 区 必 间 全 计生 宇 全 1 证 天 下 现款 二 二 的 本 二 和 瑟 直 下 和 全 全 家 下 生计 246 
3 类 他 过 村 闫 村 和 打 钙 疙 的 序 淡 和 na 站 生生 天语 证 半天 避让 全 呈 二 汪 247 
53.670 Mi 开 与 共 替 林 鱼 权 的 奸 接 elroaaeiriaiiniiaooyoaaeioaaaae 人 二 247 

站 248 


国 w 


9.5 


9.6 


27 


9.8 


第 10 章 


10.1 
10.2 


10.3 


df: 放 竺 打印 多 上 先 如 。 weapon 后 十 胡 区 攻关 不 太 和 248 


9024 光 革 二 外 本 的 打 其 时间, wearaaaeeoo 寺 和 志 瑟 后 克 耻 其 RS 250 
9 251 
944 天 名 下 的 其 他 设置 -RD 天 芝 环 寻 二 E 252 
耗 印 机 权限 与 所 有 梳 ， 二 wa 本 站 闪 人 253 
095 名 板 权 限 的 分 本 本 ha 254 
252. .打印 机 的 所 有 和 籽 ，aaEawei 吉 站 和 未 十 莽 下 地 基 arS 扫 衣 过 丽 吉 村 用 圳 .和 和 以 255 
利用 分 隔 夺 来 分 后 打 几 文件 .wo 起 抽 的 是 各 二 是 onooa8 芝 长 直 汪 本 时 隐约 全 or 255 
0 奸 二 克 拓 大 天生 255 
Sa 笑 种 站 需 下 天 作 ao 本 冤 届 本 大寺 257 
管理 等 待 盯 呈 的 交 件 wen 本 二 人 258 
9.7411: 暂 体 、) 继 扶 、) 重新 开始。 取消 打印 某 份 文件 .nan 要 258 
9272，. 莫 仁 、, 妨 续 。、 取消 打印 所 有 的 文件 < 汪汪 不 二 二 谢 天 :二 让 259 
9%03 和 更 改 广 仁 的 地 印张 先 级 与 打 色 有 时间- 区 人 本 时 二 关机 259 
74 和 和 人 缉 芭 御 重 十 次 却 全 籽 站 260 
DONIR 全 对 乒 下 二 261 
98JU 接 卜 由 UNIXS 户 玛 所 发 送 的 打印 文件 -并 要 二村 本 二 六 计 261 
.827 .将 文体 发 送 到 UNIX 的 打印 服务 器 打印 < 的 要 基于 王 全 榴 5 262 
利用 姨 千 交 御 米 管理 用 方 萌 工作 环 政和 革 和 和 让 汪 生 二 让 训 的 二 1 265 

洒 堪 用 户 在 汝 六 八 人 266 

有 这 与 归 制 用 户 本 是 正八 和 枯 生生 全 下 于 克 下 全 268 
有 证 流 本 近 省 用 产 芍 年 交 和 贡 全 汪汪 和 仙 庆生 二 汪 克 269 
2 用 大 丽 下 二: 于 的 到 放下 和 汪 计 的 让 生化 271 
10.2.3.. 为 用 户 这 于 线 制 月 屯 本 于 文件 aaa 本 明丽 是 卫 页 272 

甘 定 尺 DeRIGEEE 这 御 和 su 风 训 4 痊 古 时 络 二 55 275 
3 杰 地 用 户 何 时 会 使 用 DEtailt 配 置 文件 二 RE 本 上 二 本 扑 枉 黄 5.s 275 
10.32 拔 用 户 和 何 时 会 使 用 Defadk 配 省 交 笠 执 康 :5 碌 训 攻关 所 属 奢 革 . 二 就 让 Ran 276 
10338 自 人 勾 二 地 计算 机 与 域 的 Defaaf 配 置 文件 .二 RS 276 

二 示 半 机 sa 227 

和 用 天 二 县 二 站- 检 让 279 
组 策 赂 与 灾 本 设置 -仿生 本 二 时 和 丙 spoteori0 二 后 282 

组 第 格 概 述 二 Reed 多 TDR 二 全 RM ES 283 


- Windows Server 2016 系统 配置 指南 


2 


11.3 


11.4 


由 


11.6 
外 


第 12 章 


12.1 
2 


洛克 注 练 aa 283 
aa 283 
下 光 交 本 284 
天 信 赂 关 仙 的 5 了 285 
上 让 看 隔 285 
11.3.2. 域 组 策略 实例 演练 ] 一 一 隐藏 “Windows 防 火 墙 ” .二 汪 . 可 汪 辣 本 吕 。sssses 286 
11.3.3“ 域 组 策略 实例 演练 2 一 限制 可 执行 文件 的 运行 .ssessssssssn。 289 
11.3.4 ， 域 组 策略 实例 演练 3 一 一 限制 .appx 程 序 的 执行 .sssssssssassssssssssssssssssssss 297 
昨 本 二 全 直 6 太  、 下 光 生 生生 和 本 和 下 生 且 和 付 生生 六 和 站 大生 扩 定岗 环 -下 和 300 
ee 301 
下 本 可 要 六 下 生生- 天 生生 生生 和 全 区 302 
有 304 
城 和 霹 沪 州 交 交 丰 的 二 革 吉 大 入 直上 闪 高 天 八 世 攻 六 可 起 5 306 
和 站 剖 本 2 306 
了 二 相机 我 安 宝生 贱 的 设 征 aaaaaaeaasaas 了 到 二 雪上 有 琵 寺 让 2 308 
组 六 败 疝 汐 区 全 直下 二 二 本 二 ia 刺 反 芝 生 2 太 309 
家 核 洛 源 的 佑 用 避 本 关上 对 古训 续 。，nunns 才 二 闪 访 芍 牙 发 执 天 汪 训 ZERET 世 的 起 及 2 314 
1 有 证 、 记 :三 二 玫 刘 网 交 罗 交 和 攻 林 全 人 生计 所 1 | 二 玉 于 生机 -于 葬 网 且 315 
下 二 同和 316 
明 汪 全 省 317 
内 交合 让 莹 让 和 证 CRRETO EN 志 人 320 
NDS 人 克 全 让 全 区 Sa 本 生生 320 
人 324 
“远程 汪 硬 汶 才 和 证 汪 二 区 二 县 培 划 琶 下 所 履 。 计 二 总 on 325 
“远程 过 面 疆 撕 罗 2 二 本 吉庆 325 
迟 各 天 天 夭 订 朱 二 的 克 生 全 326 
12.2.2， 在 本 地 计算 机 利用 “远程 课 面 ”来 连接 远程 计算 机 .seessssssssssessssisssssssssssns 329 
1223 二 姓 玉 吉文 过 丰 引 投 三 轴 古 5 人 让 于 南 三 司 站 十 志 二 民 下 332 
“远程 素面 迁 找 引 的 页 多 法 是 .法 北 点 7 巧 onaRameaiiooa 机 本 宇 汪 王 333 
全 认 二 3 
的 让 生生 竹 汪汪 让 于 天生 站 各 上 下 于 人 于 站 区 让 338 
TENBRE 是 式 攻 人 338 


13.2 


13.3 


13.4 


13.5 


第 14 章 


14.1 
14.2 
14.3 


1 区 才 失 在 忆 记 诈 玫 二 asia 部 二 提交 第 风 半 二 上 必 339 
基本 大 提 的 管理 疝 滞 叶 vevuaereareeiinniiaseretieaaaeaeuanteeeieneao 天 司 有 避 区 证 风 厅 区 二 抽 344 
1 戈 丰 克 表 第 汪汪 本 知人 流 括 wwwasaiaenaeenaerzeioaamwniw 二 仙 风 屿 区 炸 且 本 天 344 
地 2. 记 基 薪 生 烽 asiagpaoaeaaeninaa 全 有 本 巧 八大 345 
133. 了 .者 建站 从 这 间 攻 站 三 外耳 二 全 时 二 才 刘 二 续 no 基 总 认 坟 环卫 克 护短- 二 aa 346 
六 349 
132.S. 措 迪 < 法 翻 避 :的 磁 利 攻 区 ,aaa 本 和 人 全 和 人 让 相生 332 
13.2.6 “磁盘 分 区 的 格式 化 、 添 加 卷 标 、 转 换文 件 系 统 与 删除 .pp 353 
亲生 畏 生 和 354 
汪汪 届 下 让 的 天 的 二 天 涉 计 生生 二 称 拓 次 交 的 本 二 生生 下 三 壹 天 二 汪 355 
2 用 宝 国生 下 且 的 生生 二 生生 全 356 
过 及 二 辣 人 区 大寺 证 AR 357 
过 区 负 攻 0 写 -eerETO 和 全 全 村 的 Et RE 贡 全 克 了 3 
二 运 捕 全 TREE 汪 二 PE 360 
REED 二 二 将 和 过 小 二 361 
攻关 全 ER 人 RPRrCI 364 
让 让 江 朗 二 Pr 全 和 计 全 人 和 计 玖 时 于 让 六 下 训 生 的 和 个 作 让 抽 个 全 二 和 人 367 
有 375 
本 区 有 PE 382 
134T 了 特 基 本 介 胡 浆 动 到 态 外 一 各 计 莽 桃 肉 :5 382 
20 将 动 沿 往 站 水 直到 天外 一 低 和 和 本 岗 二 RE 382 
人 383 
1 384 
1 二 辣 实 介 入 练 aa 385 
利用 WSUS 部 里 更 新 和 程序。 394 
WO 395 
全 三 全 全 的 站 册 人 EPE 光 的 光 于 乓 RAPE 站 次 全 让 人生 生生 下 395 
汉 避 的 本性 与 下 人 向 396 
让 率 汪 的 让 六 让 让 二 三 全 下 太 才 村 的 汪 二 CC 396 
和光 放 入 下 -福全 于 后生 机 全 EYE 和 二 RERRESSEEC 人 人 397 
全 古国 398 
1434, 下 过 下 载 更 新 程序 ,woeoeneoonowoa 因 让 可 村 册 允 生 入 歼 役 文 尼 R 下 二、 胡 399 
二 全 使 用 三 使 束 妥 竺 夫人 生生 399 


Windows Server 2016 系统 配置 指南 


4 400 
1 408 
TO 411 
人 411 
2 412 
人 415 
1 416 
]47. 自动 更 新 的 组 本格 讼 重 . 二 布 攻 起 汪 庆 了 汪 砷 订 生 二 太太 下 417 
RS 三 相 入 良 莹 表 二 区 信人 相让 区 421 
INR 422 
ES 422 
人 423 
2 424 
5 437 
人 438 
各 于 六 放生 全 写 EST 短 半生 交 CR 让 让 攻 人 丰 - 交 让 生 相 st 和 个 表 和 作 TS 438 
站 放生 440 
人 441 
0 441 
人 442 
人 443 
PRE 446 
tontT 二 448 
1625 王 训 击 乓 打 与 动 双 下 攻 。 ss 二 巷 大 要 驻 2U2U 全 厅 二 村 451 
6 453 
.37 泛 加 放大 全 而 家 间 卫 在 天 二 二 2 二流 二 Sa 454 
6 和 二 太 二 的 天 后 泛 有 人 454 
LE 和 放 和 村 时 全 WORRee vote 455 
16.32 二 让 本 引用 列表 中 月 昧 服务 器 的 先后 顺 岩 -nanoiae 二 456 
3 456 

第 47 章 - 措 建 1SCSL 文 件 服务 器 故障 转移 群集 .ae 458 
攻 商 国人 和 459 


国 X|| 


EL 


17.3 
第 18 章 


18.1 


18.2 
18.3 


17:d PCSAN 攻 iiSGSTSAN 加 构 的 群生 全 合生 汪汪 生 和 459 
17.1B2 三 群集 的 作 搬 及 团 ，1ooeviieooiyrorornea Eap aro 生生 仆人 人 和 全 生生 和 全 462 
建立 故障 苇 移 群集 实例 演练 二 464 
17.2.1 罗 戌 箱 需 来 二 ass 训 na 有 全 让 生生 直人 人 464 
17.22 -CSTSAN 丙 节 志 文件 服务 器 群集 实例 演练 .re 466 
在 群集 中 添加 节点 :删除 节点 与 删除 群集 sa 全 全 下 和 502 
系统 启动 的 疑难 排除 .ssaaea 训 nn 让 RE ET 全 全 仆仆 作 人 全 全 全 全 生生 人 和合 全 全 和 507 
选择 衬 最 近 三 次 的 正确 醒 著 关 米 认 动 宁 纺 二 证 全 5 关 508 
1834 过 会 要 用 一 归 过 一 类 的 下 顶 配 重 一 的 基站 en 508 
18T2 下 适 夺 了 使用“ 生 近 一 火 攀 还 生 配 畦 ” 的 声 夺 和 509 
830e 加 条 使 用 任用 入 元 尖 的 下 确 本 蝇 000T 过 三 509 
以 企 模 交 与 其 机 省 级 将 动 选项 .二 有 的 二 二 更 婚 亲 0 510 
短 秆 与 慌乱 天 绩 和 站 殉 生 与 于 区 和 交 本 本 S12 
汪 二 县 让 和 3 证 必 生 和 全 请 下 六 全 下 让 和 全 二 要 关 竹 天生 2 
3 513 
本 520 
和 529 


xl 国 


第 1 章 Windows Server 2016 概述 


Windows Server 2016 可 以 帮助 信息 部 门 的 IT 人 员 来 搭建 功能 强大 的 网 站 、 应 用 程序 服务 
器 与 高 度 虚 拟 化 的 云 环 境 。 大 、 中 、 小 型 的 企业 网 络 都 可 以 利用 Windows Server 2016 的 强大 
管理 功能 与 安全 措施 来 简化 网 站 与 服务 器 的 管理 、 改 善 资源 的 可 用 性 、 减 少 成 本 支出 、 保 护 
企业 应 用 程序 与 数据 ， 让 IT 人 员 更 轻松 有 效 地 管理 网 站 、 应 用 程序 服务 器 与 云 环境 。 

阅 Windows Server 2016 版 本 


妆 Windows 网 络 架 构 
阅 _TCP/PP 通 信 协 议 简 介 


于 - Windows Server 2016 系统 配置 指南 


1.1 Windows Server 2016 版 本 


Windows Server 2016 可 以 提供 高 经 济 效益 与 高 度 虚 拟 化 的 环境 ， 它 分 为 以 下 三 个 版 本 : 


鸟 Datacenter Edition: 适用 于 高 度 虚 拟 化 和 软件 定义 数据 中 心 环境 。 
习 Standard Edition: 适用 于 低 密 度 或 非 虚拟 化 的 环境 。 
沁 Essentials Edition: 适用 于 最 多 25 个 用 户 ， 最 多 50 台 设备 的 小 型 企业 。 


Windows Server 2012 R2 中 所 提供 的 Foundation 版 本 ， 在 Windows Server 2016 中 已 不 再 提 
供 。 表 1-1-1 中 列 出 Datacenter 与 Standard 版 的 主要 特点 。 


1.2 Windows 网 络 架构 


您 可 以 利用 Windows 系 统 来 搭建 网 络 ， 以 便 将 资源 共享 给 网 络 上 的 用 户 。 Windows 的 网 
络 架 构 大 致 可 分 为 工作 组 架构 〈workgroup) 、 域 架构 〈domain) 与 包含 前 两 者 的 混合 架构 。 
您 也 可 以 将 域 架 构 的 目录 服务 Active Directory 与 云端 的 Azure Active Directory 整 合 在 一 起 。 

工作 组 架构 是 一 种 分 布 式 的 管理 模式 ， 适 用 于 小 型 网 络 ;， 域 架构 是 集中 式 的 管理 模式 ， 
适用 于 中 大 型 网 络 。 下 面 针 对 工作 组 架构 与 域 架 构 的 差异 来 加 以 说 明 。 


工作 组 是 由 多 人 台 通 过 网 络 连接 在 一 起 的 计算 机 所 组 成 的 《参见 图 1-2-1) ， 它 们 可 以 将 计 
算 机 内 的 文件 、 打 印 机 等 资源 共享 出 来 供 网 络 用 户 来 访问 。 


国 : 
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工作 组 网 络 也 被 称 为 对 等 式 〈peer-to-peer) 网 络 ， 因 为 网 络 上 每 一 台 计 算 机 的 地 位 都 是 
平等 的 ， 它 们 的 资源 与 管理 是 分 散在 各 个 计算 机 上 的 。 它 的 特性 为 : 


习 每 一 台 Windows 计 算 机 都 有 一 个 本 机 安全 账户 数据 库 ， 称 为 Security Accounts 
Manager (SAM ) 。 用 户 如 果 需 要 访问 每 一 台 计 算 机 内 的 资源 ， 系 统管 理 员 便 需 要 
在 每 一 台 计 算 机 的 SAM 数 据 库 内 建立 用 户 账户 。 例 如 ， 用 户 Peter 需 要 访问 每 一 台 计 
算 机 内 的 资源 ， 则 需要 在 每 一 台 计 算 机 的 SAM 数 据 库 内 建立 Peter 账 户 ， 并 设置 这 些 
账户 的 权限 。 这 种 架构 的 账户 与 权限 管理 工作 比较 麻烦 ， 例 如 当 用 户 需要 更 改 其 账 
号 密码 时 ， 就 需要 将 该 用 户 在 每 一 台 计 莫 机 内 的 账号 密码 都 进行 修改 。 


SAM 数 据 产 
Windows 7 


图 122-1 


包工 作 组 内 可 以 不 要 服务 器 等 级 的 计算 机 (例如 Windows Server 2016 ) ， 也 就 是 说 即 
使 只 有 Windows 10、Windows 8.1 等 客户 端 等 级 的 计算 机 ， 也 可 以 搭建 工作 组 架构 的 
网 络 。 

间 如 果 企 业内 部 计算 机 数量 不 多 ， 例 如 10 台 或 20 台 计算 机 ， 就 可 以 采用 工作 组 架构 的 
网 络 。 


域 也 是 由 多 台 通 过 网 络 连接 在 一 起 的 计算 机 所 组 成 的 《参见 图 1-2-2) ， 它 们 可 将 计算 机 
内 的 文件 、 打 印 机 等 资源 共享 出 来 供 网 络 用 户 来 访问 。 与 工作 组 架构 不 同 的 是 : 域内 所 有 计 
算 机 共享 一 个 集中 式 的 目录 数据 库 〈directory database) ， 该 目录 数据 库 包 含 着 整个 域内 所 有 
用 户 的 账户 等 相关 数据 。 在 域内 提供 目录 服务 〈directory service) 的 组 件 为 Active Directory 
域 服务 (Active Directory Domain Services，AD DS) ， 它 负责 目录 数据 库 的 添加 、 删 除 、 修 
改 与 查询 等 工作 。 


在 域 架 构 的 网 络 内 ， 这 个 目录 数据 库 是 存储 在 域 控 制 器 〈domain controller) 内 的 ， 而 只 
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有 服务 器 等 级 的 计算 机 才 可 以 扮演 域 控制 器 的 角色 。 


AD DS 数 据 库 的 复制 


域 架 构 的 网 络 


Windows Server 2016、 
Windows Server 2012(R2) 等 Windows 8.1 Pro、 
Windows 7 Professional 等 


图 1-22 


域内 的 计算 机 成 员 可 以 是 ; 


半 域 控制 器 (domain controller ) : 需 服务 器 等 级 的 计算 机 才 可 扮演 域 控 制 器 的 角色 ， 
例如 Windows Server 2016 Datacenter、Windows Server 2012 R2 Datacenter 等 ， 但 并 非 
所 有 服务 器 等 级 的 计算 机 都 可 扮演 域 控制 器 ， 例 如 Windows Web Server 2008 R2 便 无 
法 成 为 域 控制 器 。 
一 个 域内 可 以 有 多 台 域 控制 器 ， 而 在 大 部 分 情况 下 ， 每 台 域 控制 器 的 地 位 都 是 平等 
的 ， 它 们 各 自 存 储 着 一 份 几乎 完全 相同 的 AD DS 数 据 库 (目录 数据 库 ) 。 当 您 在 其 
中 一 台 域 控制 器 内 新 增 了 一 个 用 户 账户 后 ， 此 账户 是 被 建立 在 这 台 域 控制 器 的 AD 
DS 数 据 库 中 的 ， 之 后 这 份 数据 会 自动 被 复制 到 其 他 域 控制 器 的 AD DS 数 据 库 内 。 这 
个 复制 动作 可 确保 所 有 域 控制 器 内 的 AD DS 数 据 库 都 能 够 同步 (synchronize ) ， 也 
就 是 拥有 相同 数据 。 
当 用 户 在 域内 某 台 计算 机 登录 时 ， 会 由 其 中 一 台 域 控制 器 根据 其 AD DS 数 据 库 内 的 
账户 数据 来 审核 用 户 所 输入 的 账户 与 密码 是 否 正确 ， 如 果 是 正确 的 ， 用 户 就 可 以 成 
功 登 录 ， 反 之 将 被 拒绝 登录 。 
多 台 域 控制 器 还 可 提供 容错 功能 ， 例 如 其 中 一 台 域 控制 器 故障 了 ， 此 时 仍然 能 够 由 
其 他 域 控 制 器 来 继续 提供 服务 。 它 也 可 改善 用 户 登 录 效 率 ， 因 为 多 台 域 控制 器 可 分 
担 审核 用 户 登 录 身 份 (账户 名 称 与 密码 ) 的 工作 。 

涪 成 页 服务 器 (member server) : 当 服 务 器 等 级 的 计算 机 加 入 域 后 ， 用 户 就 可 以 在 这 
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些 计算 机 上 利用 Active Directory 内 的 用 户 账 户 来 登录 ， 否 则 只 能 够 利用 本 地 用 户 账 
户 登 录 。 这 些 加 入 域 的 服务 器 被 称 为 成 员 服 务 器 ， 成 员 服 务 器 中 没有 Active 
Directory 数 据 ， 它 们 也 不 负责 审核 域 用 户 的 账户 名 称 与 密码 。 成 员 服务 器 可 以 是 : 
国 ” Windows Server 2016 Datacenter/Standard/Essentials 
国 Windows Server 2012 (R2 ) Datacenter/Standard 
国 Windows Server 2008 (R2 ) Datacenter/Enterprise/Standard 
若 上 述 服 务 器 并 没有 被 加 入 域 ， 则 它们 被 称 为 独立 服务 器 (stand-alone server ) 或 工 
作 组 服务 器 ( workgroup server ) 。 不 论 是 独立 服务 器 还 是 成 员 服 务 器 ， 它 们 都 有 一 
个 本 地 安全 账户 数据 库 (SAM ) ， 系 统 可 以 用 它 来 审核 本 地 用 户 ( 非 域 用户 ) 的 身 
3 

站 其 他 目前 较 常 用 的 Windows 计 算 机 ， 例 如 : 
面 Windows 10 Enterprise/Pro/Education 
量 Windows 8.1 (8) Enterprise/Pro 
国 Windows 7 Ultimate/Enterprise/Professional 
国 Windows Vista Ultimate/Enterprise/Business 
当 上 述 客 户 端 计算 机 加 入 域 以 后 ， 用 户 就 可 以 在 这 些 计算 机 上 利用 Active Directory 
内 的 账户 来 登录 ， 否 则 只 能 够 利用 本 地 账户 来 登录 。 


， 较 低 的 版 本 ， 例 如 Windows 10 Home 无 法 加 入 域 ， 因 此 只 能 够 利用 本 地 用 户 账 户 来 登 


录 。 
. 若 Windows 10 客 户 端 有 加 入 云端 Azure Active Directory 域 ， 则 可 以 利用 Azure Active 
Directory 内 的 账户 来 登录 。 
您 可 以 将 Windows Server 2016、Windows Server 2012 R2 等 独立 服务 器 或 成 员 服务 器 升级 
为 域 控 制 器 ， 也 可 以 将 域 控 制 器 降级 为 独立 服务 器 或 成 员 服务 器 。 


1.3 TCP/IP 通 信 协 议 简 介 


网 络 上 计算 机 与 计算 机 之 间或 计算 机 与 网 络 设备 之 间 ， 互 相传 递 的 信号 只 是 一 连 串 的 
“0” 与 “1”， 这 一 连 串 的 电子 信号 到 底 代表 什么 意义 ， 需 要 彼此 之 间 通 过 一 套 同 样 的 规则 
来 解释 ， 才 能 够 互相 沟通 ， 就 好 像 人 类 用 “语言 ”来 互相 沟通 一 样 ， 这 个 计算 机 之 间 的 沟通 
规则 被 称 为 通信 协议 〈protocol) 。Windows 系 统 支持 多 种 的 通信 协议 ， 其 中 的 TCP/ 耻 是 
Windows 网 络 依赖 最 深 的 通信 协议 。 

TCP/P 通 信 协 议 是 目前 最 完整 、 被 支持 范围 最 为 广泛 的 通信 协议 ， 它 让 不 同 网 络 架 构 、 
不 同 操作 系统 的 计算 机 之 间 可 以 相互 沟通 ， 例 如 Windows Server 2016、Windows 10、Linux 主 
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机 等 。 它 也 是 Internet 的 标准 通信 协议 ， 更 是 Active Directory Domain Services (AD DS) 所 必 
须 采 用 的 通信 协议 。 

在 TCP/PP 网 络 上 ， 每 一 台 连 接 在 网 络 上 的 计算 机 【设备 ) 都 被 称 为 是 一 台 主 机 
Chost) ， 而 主机 与 主机 之 间 的 通信 会 涉及 三 个 最 基本 的 要 素 : 耳 地 址 、 子 网 掩 码 与 IP 路 由 
器 〈 默 认 网 关 ) 。 


每 一 台 主 机 都 有 唯一 的 耳 地 址 〈 其 功能 就 好 像 是 家 里 的 门牌 号 码 ) ， 卫 地 址 不 但 可 以 被 
用 来 辨识 每 一 台 主 机 ， 其 中 也 隐 含 着 如 何在 网 络 间 传 送 数据 的 路 由 信息 。 

IP 地 址 占用 32 个 位 〈bit) ， 一 般 是 以 4 个 十 进 制 数 来 表示 ， 每 一 个 数字 称 为 一 个 “8 位 二 
进 制 数 ” (〈octet ) 。“8 位 二 进 制 数 ”(〈octet 与 octet) 之 间 以 点 (dot) 隔 开 ， 例 如 
192.168.1.31。 


此 处 所 介绍 的 耳 地 址 是 目前 使 用 最 为 广泛 的 IPv4， 共 占用 32 位 ，Windows 系统 也 支持 新 
版 的 IPv6 。 


这 个 32 位 的 耳 地 址 内 包含 网 络 标识 符 与 主机 标识 符 两 部 分 : 


让 网 络 标识 符 (Network ID ) : 每 一 个 网 络 都 有 一 个 唯一 的 网 络 标识 符 ， 换 名 话说 ， 
位 于 相同 网 络 内 的 每 一 台 主 机 都 拥有 相同 的 网 络 标识 符 。 

习 主机 标识 符 〈HostID ) : 相同 网 络 内 的 每 台 主机 都 有 一 个 唯一 的 主机 标识 符 。 

若 此 网 络 是 直接 通过 路 由 器 来 连接 Internet， 则 需要 为 此 网 络 申请 网 络 标识 符 ， 整 个 网 络 
内 所 有 主机 都 使 用 这 个 网 络 标识 符 ， 然 后 再 赋予 此 网 络 内 每 一 台 主 机 一 个 唯一 的 主机 标识 
符 ， 因 此 网 络 上 每 一 台 主 机 都 会 有 一 个 唯一 的 耳 地址 〈 网 络 标识 符 + 主机 标识 符 ) 。 您 可 以 向 
ISP《〈 因 特 网 服务 提供 商 ) 申请 网 络 标识 符 。 

若 此 网 络 并 未 通过 路 由 器 来 连接 Internet， 则 可 以 自行 选择 任何 一 个 可 用 的 网 络 标识 符 ， 
不 用 申请 ， 但 是 网 络 内 各 主机 的 耳 地址 不 可 相同 。 


传统 的 耳 地 址 被 分 为 A、B、C、D、E 五 大 类 别 ， 其 中 只 有 A、B、C 三 个 类 别 的 耳 地 址 可 
供 一 般 主 机 来 使 用 《参见 表 1-3-1) ， 每 种 类 别 所 支持 的 卫 数 量 都 不 相同 ， 以 便 满 足 各 种 不 同 
规模 的 网 络 需 求 。 

IP 地 址 共 占 用 4 个 字 节 〈byte) ， 表 中 将 下地 址 的 各 字 节 以 W.X.YZ 的 形式 来 加 以 说 明 。 
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表 1-3-1 


人 2 一 儿 绑 星 


半 A 类 JP 地 址 适合 于 超大 型 网 络 ， 其 网 络 标识 符 占 用 一 个 字 节 (W ) ，W 的 范围 为 1 到 
126， 共 可 提供 126 个 A 类 的 网 络 标识 符 。 
主机 标识 符 共 占 用 X、Y、Z 三 个 字 节 (24 位 ) ， 这 24 位 可 支持 (224 ) -2=16777 216- 
2=16 777 214 台 主机 ( 减 2 的 原因 后 述 ) 。 

匀 B 类 了 地址 适合 于 中 、 大 型 网 络 ， 其 网 络 标识 符 占 用 两 个 字 节 (W、X) ，W 的 范围 
为 128 到 191， 它 可 提供 (191-128+1 ) *256=16384 个 B 类 网 络 。 主 机 标识 符 共 
占用 Y、Z 两 个 字 节 ， 因 此 每 个 网 络 可 支持 (215) -2=65536--2= 65 534 台 主机 。 

站 C 类 IP 地 址 适合 于 小 型 网 络 ， 其 网 络 标识 符 占 用 三 个 字 节 (W、X、Y ) ，W 的 范围 
为 192 到 223， 它 可 提供 ( 223 -192+1 ) *256*256 =2097152 个 C 类 网 络 。 主 机 
标识 符 只 占用 一 个 字 节 ( 乙 ) ， 因 此 每 个 网 络 可 支持 (2 ) -2=254 台 主机 ， 


在 设置 主机 的 地址 时 请 注意 以 下 事项 ; 


沾 网 络 标识 符 不 可 以 是 127: 网 络 标识 符 127 是 供 回 路 测试 (loopback test) 使 用 的 ， 可 
用 来 检查 网 卡 与 驱动 程序 是 否 正常 工作 。 不 能 将 它 分 配给 主机 使 用 。 一 般 来 说 ， 
127.0.0.1 这 个 IP 地 址 用 来 代表 主机 本 身 。 

当 每 一 个 网 络 的 第 1 个 卫 地 址 代表 网 络 本 身 、 最 后 一 个 下地 址 代表 广播 地 址 

(broadcast address ) ， 因 此 实际 可 分 配给 主机 的 IP 地 址 将 少 2 个 : 例如 若 所 申请 的 
网 络 标 识 符 为 203.3.6， 它 共有 203.3.6.0 到 203.3.6.255 的 256 个 耳 地 址 ， 但 203.3.6.0 是 用 
来 代表 这 个 网 络 的 (因此 我 们 一 般 会 说 其 网 络 标识 符 为 4 个 字 节 的 203.3.6.0 ) ; 而 
203.3.6.255 是 保留 给 广播 用 途 的 〈255 代 表 广 播 ) ， 例 如 若 发 送信 息 到 203.3.6.255 这 
个 地 址 ， 表 示 欧 信息 广播 给 网 络 标识 符 为 203.3.6.0 网 络 内 的 所 有 主机 。 


图 1-3-1 为 C 类 网 络 示 例 , 其 网 络 标识 符 为 192.168.1.0， 图 中 5 人 台 主 机 的 主机 标识 符 分 别 为 
人 
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SerVerT1.Sayms.loca 注 SerVer2.sayms 
192.168.11 192.168.1.2 


192.168.1.0 


pcl.saynmas.local pc2.sayms.local 
192.168.1.21 AI 192.168.1.22 
192.168.1.3 


图 1-3-1 


子 网 掩 码 也 占用 32 位 ， 当 耳 网 络 上 两 台 主 机 在 相互 通信 时 ， 它 们 利用 子 网 掩 码 来 得 知 双 
方 的 网 络 标识 符 ， 进 而 得 知 彼此 是 否 在 相同 网 络 内 。 

表 1-3-2 中 为 各 类 别 下 地 址 默认 的 子 网 掩 码 值 ， 其 中 值 为 1 的 位 用 来 表示 网 络 标识 符 ， 值 
为 0 的 位 用 来 表示 主机 标识 符 ， 例 如 若 某 台 主 机 的 了 地 址 为 192.168.1:3， 其 三 进 制 值 为 
11000000.10101000.00000001.00000011 ， 而 子 网 痢 码 为 255$.25$.25$50， 其 二 进 制 值 为 
11111111.11111111.11111111.00000000， 则 计算 其 网 络 标识 符 的 原则 是 : 将 耳 地 址 与 子 网 掩 码 
两 个 值 中 相对 应 的 位 做 AND 逻 辑 运 算 《〈 参 见 图 1-3-2) ， 所 得 出 来 的 结果 192.168.1.0 就 是 网 络 
标识 符 。 


表 1-3-2 


192.168.13 ”一 11000000 10101000 00000001 00000011 
255.255.255.0 一 一 > 11111111 11111111 11111111 00000000 
00 0 


AND 后 的 结果 一 > 11000000 101010 0000001 00000000 
(168) (]) 


1]-3-2 


(192) (0) 


若 主机 A 的 卫 地 址 为 192.168.1.3 、 子 网 掩 码 为 235$.255$.2$55.0， 主 机 了 B 的 下 地 址 为 
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192.168.1.5、 子 网 掩 码 为 255.255.255.0， 因 此 A 主 机 与 B 主 机 的 网 络 标识 符 都 是 192.168.1.0， 
表示 它们 是 在 同一 个 网 络 内 ， 因 此 可 直接 相互 通信 ， 不 需要 借助 于 路 由 器 〈 可 参阅 系列 著 
作 : Windows Server 2016 网 络 管理 与 架 站 ) 。 


前 面 所 叙述 的 A、B、C 类 耳 地 址 为 类 别 式 的 划分 方式 ， 不 过 目前 最 普遍 采用 的 却 是 无 类 
别 的 CIDR ( Classless Inter-Domain Routing ) 划分 方式 ， 这 种 方式 在 表示 卫 地 址 与 子 网 掩 
码 时 有 所 不 同 ， 倒 如 网 络 标识 符 为 192.168.1.0、 子 网 掩 码 为 23$.2$$.255.0， 则 一 般 我 们 


会 利用 192.168.1.01/24 来 代表 此 网 络 ， 其 中 的 24 代 表 子 网 掩 码 中 位 值 为 1 的 数量 为 24 个 ; 
同 理 ， 若 网 络 标识 符 为 10.120:0.0、 子 网 掩 码 为 2355.255.0.0 一 则 一 般 我 们 会 利用 
10.120.0.0/16 来 代表 此 网 络 。 


主机 A 若 要 与 同一 个 耿 子 网 内 的 主机 B 通 信 【网络 标识 符 相 同 ) ， 可 以 直接 将 数据 发 送 给 
主机 B; 但 是 若 要 与 不 同 子 网 内 的 主机 C 通 信和 的话 区 网 络 标识 符 不 同 ) ”就 需要 先 将 数据 发 送 
给 路 由 器 ， 再 由 路 由 器 负责 发 送 给 主机 C。 一 般 主机 若 要 通过 路 由 器 来 转发 数据 的 话 只 要 
事先 将 其 默认 网 关 指 定 到 路 由 器 的 耳 地 址 即 可 ， 

以 图 1-3-3 为 例 ， 甲 、 乙 两 个 网 络 是 通过 路 由 器 来 连接 的 。 当 甲 网 络 的 主机 A 需 要 与 乙 网 
络 的 主机 C 通 信 时 ， 由 于 主机 A 的 卫 地 址 为 192.168.1.1、 子 网 掩 码 为 235.255.255.0、 网 络 标识 
符 为 192.168.1.0， 而 主机 C 的 卫 地 址 为 192.168.2.10、 子 网 掩 码 为 255.255.255.0、 网 络 标识 符 为 
192.168.2.0， 因 此 主机 A 可 以 判断 出 主机 C 是 位 于 不 同 的 子 网 内 ， 会 将 数据 发 送 给 默认 网 关 ， 
也 就 是 下地 址 为 192.168.1.254 的 路 由 器 ， 然 后 再 由 路 由 器 负责 将 其 发 送 到 主机 C。 


子 网 掩 码 :， 255. 255. 
默认 网 关 : 192. 168. 


192.168.1.254 


主机 A 
IP: 192. 168.1.1 192.168.2.254 


子 网 掩 码 : 255. 255. 255.0 
默认 网 关 : 192. 168. 1. 254 


主机 C 
IP: 192. 168. 2. 10 
子 网 掩 码 ;: 255. 255. 255.0 从 串 
默认 网 关 : 192. 168. 2. 254 卫 - 
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前 面 提 到 耳 类 别 中 的 A、B、C 类 是 可 供 主机 使 用 的 耳 地 址 。 在 这 些 耳 地址 中 ， 有 一 些 被 
归 类 为 科 有 IP (private 卫 ， 参 见 表 1-3-3) ， 各 公司 可 以 自行 选用 适合 的 私有 卫 ， 而 且 不 需要 
申请 ， 因 此 可 以 节省 网 络 建设 成 本 。 


表 1-3-3 


10.0.0.0 255.0.0.0 10.0.0.1 ~ 10.255.255.254 


172.16.0.0 255.240.0.0 172.16.0.1 ~ 172.31.255.254 
192.168.0.0 | 255.255.00 ”| 192.168.0.1 ~ 192.168.255.254 


不 过 私有 IP 只 能 够 在 公司 内 部 的 局 域 网 络 使 用 ， 虽 然 它 可 以 让 内 部 计算 机 相互 通信 ， 但 
是 无 法 直接 与 外 部 计算 机 通信 。 使 用 私有 卫 的 计算 机 若 要 对 外 上 网 、 收 发 电子 邮件 ， 则 需要 
通过 具备 Network Address Translation (NAT) 功能 的 设备 ， 例 如 卫 共 享 器 、 宽 带路 由 器 等 。 
另 一 本 书 《Windows Server 2016 网 络 管理 与 架 站 》 中 有 NAIT 的 详细 说 明 。 

其 他 不 属于 私有 了 P 的 地 址 被 称 为 公有 IP (public 中) ， 例 如 220.135.145.145。 使 用 公有 卫 
的 计算 机 可 以 通过 路 由 器 来 直接 对 外 通信 ， 因 此 在 这 些 计 算 机 上 可 以 搭建 商业 网 站 ， 让 外 部 
用 户 直接 连接 此 商业 网 站 。 这 些 公有 了 PP 必须 事 先 申 请 。 

如 果 Windows Server 2016 计 算 机 的 下 地 址 设置 是 采用 自动 获取 的 方式 ， 但 是 却 因 故 无 法 
获取 耳 地 址 ， 那 么 此 时 该 计算 机 会 通过 Automatic Private IP Addressing (APIPA) 机 制 来 为 自 
已 设置 一 个 网 络 标识 符 为 169.254.0.0 的 临时 耳 地 址 ， 例 如 169.254.49.31， 不 过 只 能 够 利用 它 来 
与 同一 个 网 络 内 IP 地 址 也 是 169.254.x.x 格 式 的 计算 机 通信 。 
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本 章 将 介绍 安装 Windows Server 2016 前 必 备 的 基本 知识 、 如 何 安 装 Windows Server 
2016， 接 着 说 明 如 何 登 录 、 注 销 、 锁 定 与 关闭 Windows Server 2016。 


站 安装 前 的 注意 事项 
习 安装 或 升级 为 Windows Server 2016 
习 局 动 与 使 用 Windows Server 2016 


国 晶 | windows server 2016 系统 配置 指南 


2.1 安装 前 的 注意 事项 


Windows Server 2016 提 供 三 种 安装 选项 : 


习 包含 桌面 体验 的 服务 器 : 它 会 安装 标准 的 图 形 用 户 界面 ， 并 支持 所 有 的 服务 与 工 
具 。 由 于 包含 图 形 用 户 界面 (GUI) ， 因 此 用 户 可 以 通过 友好 的 图 形 化 接口 与 管理 
工具 来 管理 服务 器 。 3 

洁 Server Core: 它 可 以 降低 维护 与 管理 需求 、 减 少 硬 盘 使 用 容量 、 减 少 被 攻击 面 。 由 
于 安装 完成 后 的 环境 没有 窗口 管理 接口 ， 因 此 只 能 使 用 命令 提示 符 (command 
prompt ) 、Windows PowerShell 或 通过 远程 计算 机 来 管理 此 台 服 务 器 。 有些 服 务 在 ， 
Server Core 模 式 下 并 不 被 支持 ， 除 非 有 图 形 化 接口 或 特殊 服务 的 使 用 需求 ， 否 则 这 
是 微软 建议 的 安装 选项 。 

站 Nano Server: 类 似 于 Server Core， 但 明显 较 小 、 只 支持 64 位 应 用 程序 与 工具 。 它 
没有 本 地 登录 功能 ， 需 通过 远程 来 管理 ， 已 针对 私有 云 和 数据 中 心 进行 了 优化 。 比 
起 其 他 选项 ， 它 占用 的 磁盘 空间 更 少 、 配 置 速度 明显 更 快 ， 而 且 所 需 的 更 新 和 重新 
启动 次 数 更 少 。 


下 面 主 要 是 针对 具备 图 形 化 接口 的 “包含 桌面 体验 的 服务 器 ”来 说 明 。 若 要 在 计算 机 内 
安装 与 使 用 Windows Server 2016， 则 此 计算 机 的 硬件 配置 需要 满足 表 2-1-1 所 示 的 基本 硬件 资 
源 需求 。 


表 2-1-1 
最 少 1.4GHz、64 位 ; 支持 NX 或 DEP ， 支持 CMPXCHG16B 、 LAHF/SAHF 与 
PrefetchW， 支持 SLAT 〈(EPT 或 NPT) 
内 存 (RAM) “包含 桌面 体验 的 服务 器 ”最 少 需 2GB 
最 少 32GB， 不 支持 已 经 淘汰 的 IDE 硬 盘 〈(PATA 硬 盘 ) 
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1. 实际 的 需求 根据 计算 机 的 配置 ` 所 安装 的 应 用 程序 、 所 扮演 的 角色 与 所 安装 的 功能 数 


量 等 情况 可 能 需要 增加 。 


2. 本 书 中 许多 示例 需要 使 用 多 台 计 算 机 来 练习 ， 此 时 可 以 利用 Windows Server 2016 内 
置 的 Hyper-V 来 搭建 虚拟 的 测试 网 络 与 计算 机 〈 郊 第 5 章 ) 。 


可 以 到 https://technetmicrosoft.com/ 网 站 搜索 与 下 载 coreinfo.exe 程 序 ， 利 用 它 来 查看 当前 
计算 机 的 CPU 是 否 支 持 表 中 所 列 的 功能 。 例 如 图 2-1-1 中 可 看 出 支持 64 位 与 NX。 从 图 2-1-2 可 
看 出 支持 CMPXCHG16B 〈CX16) 与 LAHF/SAHF。 


国共 要 和: 会 提示 符 一 口 藉 


5C:NVCoreinfoXCoreinfo. exe 


Coreinfo v3. 31 - Dump information on system CPU and memory topology 
Copyright (C) 2008-2014 ark Rossinovyich 
Sysinternals - www. sysinternals. com 


Tntel(R) Core(TID) i5-3230 CPU @ 2. 60GHz 
ITntel64 Family 6 Nodel 58 Stepping 9，GenuineIntel 
crocode signature: 0000001B 
Hyperthreading enabled 
加 Hypervisor is present 
于 op yirtualization 
二 Sunpal axe=-assisted virtualization 


Stcx 
INIT = Supports AID SKINIT 


章 Supports S Sor 了 ode Execution 
一 Suppaorts 和 iode 站 Prevention 
= Supports 1 6B large pages 
SS 本 Supports bus snooping for cache operations | 
宴 - Supports 内 rtual-8086 mode v 


图 2-1-1 


Supports COVcc inetruction 
Se 和 eu 


3 0 Transactional Hemory instructions 


让 Supparts PCIDs and settable CR4 PCIDE 

Supports IJNVPCID instruction 

来 Supparts Performance Capabilities NSR 
图 2-1-2 


从 图 2-1-3 可 看 出 支持 PREFETCHW， 从 图 2-1-4 中 执行 coreinfo 入 的 结果 可 看 出 支持 
SLAT。 
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| 国 知 理 员 : 念 人 提示 生 ee 
PBE 本 Supports use of FERRN#APBE# pin 

PSN = JTJmplements 96-bit processor serial numrber 

PREFETC 本 Supports PREFETCHY instruction 


二 implemented CPUID leaves: 0000000D (Basic)，80000008 (Extended)、 


Logical to Physical Processar Map: 
-- Physical Processor 0 (Hyperthreaded) 
Physical Processor 1 (Hyperthreaded) 


， 丽 等 至 员 : 命令 提示 符 一 口 X- 可 
| 


办 
to Av 而 


Coreinfo y3. 31 - Dump information on System CPU and memory topology 
Copyright (C) 2008-2014 Jark Russinovich 
Sysinternals - waw. sysinternals. com 


| 

Intel (R) Core(TID i5-3230M CPU @ 2.606Hz 

Intel64 Family 6 Kodel 58 Stepping 9，GenuineIntel 
Microcode signature; 0000001B 

HTYPERVISOR 绩 


在 数据 能 够 被 存储 到 磁盘 《硬盘 ) 之 前 ， 该 磁盘 需 被 划分 成 一 或 数 个 磁盘 分 区 
(partition) ， 每 个 磁盘 分 区 都 是 一 个 独立 的 存储 单位 。 您 可 在 安装 时 选择 欲 安装 Windows 
Server 2016 的 磁盘 分 区 【以 下 假设 为 MBR 磁 盘 ， 详 见 第 13 章 ) : 


浊 若 磁盘 完全 未 经 过 划分 (例如 全 新 磁盘 ) ， 如 图 2-1-5 左 边 所 示 ， 则 您 可 以 将 整个 磁 
盘 当 作 一 个 磁盘 分 区 ， 并 选择 将 Windows Server 2016 安 装 到 此 分 区 (会 被 安装 到 
Windows 文 件 夹 内 ) ， 不 过 因为 安装 程序 会 自动 建立 一 个 系统 保留 分 区 ， 因 此 最 后 
结果 将 是 如 图 2-1-5$ 右 边 所 示 的 情况 。 


未 划分 空间 


2-1-5 
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半 可 以 将 一 个 未 分 区 磁盘 的 部 分 空间 划分 出 一 个 磁盘 分 区 ， 然 后 将 Windows Server 
2016 安 装 到 此 分 区 ， 不 过 安装 程序 会 自动 另外 建立 一 个 系统 保留 分 区 ， 如 图 2-1-6 所 
示 ， 最 终结 果 中 剩余 的 未 划分 空间 可 以 用 来 当 作 数据 存储 分 区 或 安装 另外 一 套 操 作 
系统 。 


图 2-1.6 


涪 若 磁 盘 分 区 内 已 经 有 其 他 操作 系统 ， 例 如 Windows Server 2012 R2， 而 您 要 将 

Windows Server 2016 安 装 到 此 分 区 ， 则 可 以 (参见 图 2-1-7) : 

画 对 旧版 Windows 系 统 升 级 : 此 时 旧版 Windows 系 统 会 被 Windows Server 2016 取 
代 ， 不 过 原来 大 部 分 的 系统 配置 会 被 保留 在 Windows Server 2016 系 统 内 ， 一 般 的 
数据 文件 〈 非 操作 系统 文件 ) 也 会 被 保留 。 

国 不 升级 旧版 Windows 系 统 : 此 磁盘 分 区 内 原 有 文件 会 被 保留 ， 虽 然 旧版 Windows 
系统 已 经 无 法 使 用 ， 不 过 旧版 Windows 系 统 所 在 的 文件 夹 (一 般 是 Windows ) 会 
被 移动 到 Windows.old 文 件 夹 内 。 安 装 程序 会 将 新 的 Windows Server 2016 安 装 到 
此 磁盘 分 区 的 Windows 文 件 夹 内 。 


通过 升级 方式 将 不 升级 ， 安 装 全 新 的 Windows 
Windows Server Server 2016， 但 会 保留 旧版 
2016 安 装 到 此 处 Windows 的 系统 文件 


图 2-1-7 
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若 您 在 安装 过 程 中 将 现 有 磁盘 分 区 删除 或 格式 化 ， 则 该 分 区 内 的 现 有 数据 都 将 丢失 。 


站 虽然 磁盘 内 已 经 有 其 他 Windows 系 统 ， 不 过 该 磁盘 内 尚 有 其 他 未 划分 空间 ， 而 您 要 
将 Windows Server 2016 安 装 到 此 未 划分 空间 的 Windows 文 件 夹 内 ， 如 图 2-1-8， 此 方 
式 让 您 在 启动 计算 机 时 ， 可 选择 其 他 Windows 系 统 或 Windows Server 2016， 这 就 是 所 
谓 的 多 重 引导 设置 (multiboot ) 。 


将 Windows Server 2016 安 装 到 此 处 ， 


可 以 实现 其 他 Windows 系 统 与 
Windows Server 2016 多 重 引 导 功 能 


图 2-1-8 


SaeueaovccoRoawWggsiGrieENESEEREcawesisE 


任何 一 个 新 的 磁盘 分 区 都 必须 被 格式 化 成 适当 的 文件 系统 后 才 可 以 在 其 中 安装 Windows 
操作 系统 与 存储 数据 ， 除 了 exFEAT、FAT32、EAT 与 Windows 主 流 文件 系统 NTEFS 之 外 ， 
Windows Server 2016 也 支持 ReFS， 它 提供 较 高 的 安全 性 、 更 大 的 磁盘 容量 与 比较 好 的 性 能 
等 。 不 过 只 能 将 Windows Server 2016 安 装 到 NTFS 文 件 系统 的 磁盘 分 区 内 ， 而 ReFS、exFAT、 
FAT32 与 FAT 磁 盘 仅 能 用 来 存储 数据 。 


2.2 安装 或 升级 为 Windows Server 2016 


您 可 以 选择 全 新 安装 Windows Server 2016， 或 将 现 有 的 旧版 Windows 系 统 升 级 ; 


站 全 新 安装 : 请 利用 包含 Windows Server 2016 的 避 盘 来 启动 计算 机 与 执行 U 盘 中 的 安装 

程序 。 若 磁盘 内 已 经 有 旧版 Windows 系 统 ， 则 您 也 可 以 先 启 动 此 系统 ， 然 后 插入 避 盘 

来 执行 其 中 的 安装 程序 ; 您 也 可 以 直接 执行 Windows Server 2016 ISO 文件 内 的 安装 
程序 。 

汉 将 现 有 的 旧版 Windows 操 作 系统 升级 : 必须 先 启 动 这 个 旧版 的 64 位 Windows 系 统 

( Windows Server 2012 R2、Windows Server 2012 ) ， 然 后 插入 包含 Windows Server 


国 + 
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2016 的 U 盘 来 执行 其 中 的 安装 程序 ; 您 也 可 以 直接 执行 Windows Server 2016 ISO 文件 
内 的 安装 程序 。 


如 果 制 作 了 Windows Server 2016 DVD ， 也 可 以 用 DVD 来 启动 计算 机 与 安装 Windows 


Server 2016。 


利用 U 


这 种 安装 方式 只 能 够 全 新 安装 ， 无 法 升级 安装 。 请 准备 好 包含 Windows Server 2016 的 U 
盘 ， 然 后 按照 以 下 步骤 来 安装 Windows Server 2016。 


若 要 制作 包含 Windows Server 2016 的 U 盘 ， 可 以 上 网 找 工具 ， 例 如 Windows USB/DVD 
Download Tool、 WinToFlash。 


STEP 回 ”将 包含 Windows Server 2016 的 U 盘 插入 计算 机 的 USB 插 槽 。 
STEP 回 将 计算 机 的 BIOS 设 置 改 为 从 USB 来 启动 计算 机 ， 重 新 启动 计算 机 后 会 执行 U 盘 内 
的 安装 程序 ( 开启 计算 机 的 电源 后 ， 按 固 到 键 或 国 键 可 进入 BIOS 设 置 界面 ， 然 后 选 


择 从 U 盘 来 启动 计算 机 ) 。 
STEP 回 。 在 图 2-2-1 的 界面 中 直接 单 击 病状 汪 扩 钮 。 


三 距 7 
醒 国 Windows Server 2016 


引文 ( 阐 信 ,中国 
中 文 (简体 ， 中 国 ) Y 


STEP 四 ”在 图 2-2-2 中 单 击 材 
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族 
昌国 Windows Server 2016 


图 2.2-2 


STEP 回 ”在 图 2-2-3 中 输入 产品 密 钥 后 单 击 请 生生 按钮 ， 或 是 单 击 我 没有 产品 密 钥 来 试用 此 产 


品 ( 批量 授权 或 评估 版 免 此 步骤 ) 。 


[SP 


| 激活 驻 ndows 


| 和 2 


产品 密 钥 银 这 样 ZXOOI-XOGE-ROOX-XOOG-OOOX 


上。 如 曙 作 正在 重新 雪 装 indevs， 请 选择 "我 疫 有 产品 到 外 ”。 稍 后 桂 自动 类 你 的 windors 副本 。 
| 荐 到 


隐私 声明 (PE) 我 没有 产品 密 钼 () [FE 上] 
图 2-2-3 


STEP 回 ”在 图 2-2-4 中 选择 要 安装 的 版 本 后 
2016 Datacenter ( 桌面 体验 ) ) 。 


按钮 ( 此 处 我 们 选择 Windows Server 
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选择 要 安装 的 操作 系统 (3) 


图 224 


STEP 贺 。 在 适用 的 声明 和 许可 条 款 界 面 中 勾 选 我 接受 许可 条 款 后 羊 击 调 王 呈 按钮。 
STEP 图 。 在 图 2-2-5 中 单 击 自 定义 : 仪 安装 Windows ( 高 级 ) 。 


你 想 执行 哪 种 类 型 的 安装 ? 


升 最 宫 装 Windows 并 保 久 文件 、 总 因应 用 程序 
人 二 有 应 用 程序 移 到 iadews。 只 有 当 计算 机 上 运行 的 是 支持 的 


图 2.2-5 


STEP 回 。 在 图 2-2-6 中 选择 欲 安装 Windows 的 磁盘 分 区 ， 单 击 似 请 汪 以 钮 。 


若 需 安装 厂商 提供 的 驱动 程序 才能 访问 磁盘 ， 请 单 击 加 载 驱动 程序 ， 单 击 新 建 可 以 建立 
主 分 区 ; 单 击 格式 化 、 删 除 可 以 将 现 有 磁盘 分 区 格式 化 或 删除 。 
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你 想 将 Windows 安装 在 哪里 ? 


图 226 


STEPE] 如 图 2-2-7 所 示 ， 安 装 程序 开始 安装 Windows Server 2016。 


227 


这 种 安装 方式 可 以 用 来 升级 安装 ， 也 可 以 用 来 全 新 安装 ， 不 过 主要 是 用 来 升级 安装 ， 
此 以 下 说 明 以 升级 安装 为 主 。 请 准备 好 包含 Windows Server 2016 的 ISO 文件 或 U 盘 ， 然 后 按照 
以 下 步骤 来 安装 Windows Server 2016。 


STEP 回 启动 现 有 的 Windows 系 统 、 登 录 。 


国 > 
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STEP 回 ”插入 包含 Windows Server 2016 的 吕 盘 来 执行 U 盘 内 的 安装 程序 ， 您 也 可 以 执行 ISO 
文件 内 的 安装 程序 setup.exeo。 

STEP 图 ”在 图 2-2:8 中 建议 选择 “下载 并 安装 更 新 ( 推荐 ) ，， 以 便 确 保 能 够 顺利 地 安装 成 
功 ( 请 确认 此 计算 机 现在 可 以 上 网 ) 。 


图 2-2-8 


STEP 回 ”在 图 2-2-9 中 输入 产品 密 钥 后 单 击 吓 
品 ( 批量 授权 或 评估 版 免 此 步骤 ) 。 


按钮， 或 是 单 击 我 没有 产品 密 钥 来 试用 此 产 


激活 Windows 
外 污 铺 半天 和 由 7 


产品 密 铀 像 这 样 : OOXX-XXXXX-XXXXX-XXXXX 


如 果 你 正在 重新 安装 indovs， 请 选择 “我 没有 产品 密 铀 ”。 稿 后 格 自动 泊 活 你 的 内 adows 副本 。 


E 
隐私 声明 (P) 


STEP 回 ”在 图 2-2- 人 按钮 ( 此 处 我 们 选择 Windows Server 
2016 Datacenter |( 桌面 体验 ) 


Windows Server 2016 系统 配置 指南 


网 Windows Server 2016 安装 必 序 一 X 


Windows Servyer 2016 Dstacenter 
rp Data 南面 件 


图 22-10 
STEP 回 。 出 现 适 用 的 声明 和 许可 条 款 界面 时 ， 请 单 击 接受 后 单 击 请 四 肖 


STEP 加 ”在 图 2-2-11 中 选择 要 保留 的 项 目 后 单 击 证 | 技 


答 Windows Server 2016 安装 季 序 we X | 


图 2-2-11 


STEP 图 “” 若 在 图 2-2-12 中 显示 有 不 兼容 性 问题 ， 建 议 您 先 解决 问题 后 再 安装 ， 


ie 


安装 ， 则 单 击 庄 讽 
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唤 Windows Server 2016 去 尘 促 社 到 关 | 


你 需要 关注 的 事项 


| ss | 


图 2-2-12 


STEP 回 ”在 图 2-2-13 所 示 的 界面 中 单 击 


夸 Windows Server 2016 去 半 尾 序 空 X 


准备 就 绪 ， 可 以 安装 


图 2-2-13 


2.3 启动 与 使 用 Windows Server 2016 


2.3.1 启动 与 登录 Windows Server 2016 


安装 完成 后 计算 机 将 自动 重新 启动 ， 启 动 Windows Server 2016 操 作 系 统 。 第 一 次 启动 
Windows Server 2016 时 会 如 图 2-3-1 所 示 要 求 您 设置 系统 管理 员 Administrator 的 密码 〈 单 击 密 
码 右 侧 图 标 可 显示 所 输入 的 密码 ) ， 设 置 好 后 单 击 完 成 


加 四 Windows Server 2016 系统 配置 指南 


图 2-3-1 


用 户 的 密码 默认 需 至 少 6 个 字符 、 不 能 包含 用 户 账 户 名 称 或 全 名 ， 至 少 要 包含 A-Z、a- 
Zz、0-9、 非 字母 数字 ( 例如 !、$、# % ) 等 4 组 字符 中 的 任意 3 组 。 例 如 ，12abAB 是 一 
个 有 效 的 密码 ， 而 123456 是 无 效 的 密码 。 


接 下 来 请 按照 图 2-3-2 的 要 求 按 居 加 


然后 在 图 2-3-3 的 界面 中 输入 系统 管理 


员 (Administrator) 上 证 汪 生 于 in) 。 登 录 成 功 后 会 出 现 图 2-3-4 所 示 的 
服务 器 管理 器 界面 。 


20:5 如 


人 月 9 日 , 星期 四 


图 2-3-2 
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入 


Adminmistrator 


图 2-3-3 


证 本 地 服务 器 四 
本 ”所 有 服务 身 
air @@ 本 于 此 本 地 服务 器 四 


5 将 此 服务 器 连接 到 云 服 务 


| 画 

添加 角色 和 功能 
| 等 添加 要 管理 的 其 他 服务 器 | 
光 和 创建 服务 器 组 
角色 和 了 睛 务 器 组 


角色 : 1 | 扫 务 天 栓 : 1 ] 也 务 惹 兰 数 : 1 


图 2-3-4 


知 计算 机 内 同时 安 交 多 大 尝 作 系 人 例如 Windows Server 2012 R2 与 Windows Server 
2016， 则 每 次 计算 机 启动 时 会 出 现 类 似 图 2-3-5$ 的 Windows 启 动 管 理 器 界面 ， 此 时 请 在 


30 秒 内 从 列表 中 选择 要 启动 的 Windows 系 统 ， 和 否则 默认 会 自动 启动 刚才 安装 的 Windows 
Server 20160。 
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图 2-3-5 


如 果 即 捅 即 用 〈plug-and-play) 设备 的 驱动 程序 未 经 过 签名 〈signed) ， 那 么 在 安装 此 程 
序 时 会 出 现 警告 界面 ， 而 且 即 使 完成 此 程序 的 安装 ， 系 统 也 不 会 加 载 此 驱动 程序 。 若 您 是 通 
过 应 用 程序 来 安装 未 经 过 签名 的 驱动 程序 ， 此 时 虽然 不 会 有 警告 界面 ， 可 是 系统 仍然 不 会 加 
载 此 驱动 程序 。 

若是 因为 系统 不 会 加 载 该 驱动 程序 而 造成 系统 不 正常 运作 或 无 法 启动 ， 请 通过 以 下 程序 
来 允许 系统 加 载 未 经 签名 的 驱动 程序 ， 以 便 正 常 启动 系统 。 
STEP 贺 ”重新 启动 计算 机 ， 并 在 完成 自 检 、 系 统 启动 初期 立刻 按 园 键 ( 或 参考 18.1 节 的 说 

明 来 通过 bcdedit.exe 程 序 ) 。 

STEP 圆 如 图 2-3-6 所 示 选 择 禁 用 驱动 程序 强制 签名 后 按 贰 辆 键 。 


图 2-36 
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STEP 图 ”启动 成 功 后 ， 请 外 载 此 驱动 程序 ， 以 便 之 后 重新 利用 正常 启动 模式 启动 系统 时 可 
以 正常 启动 、 正 党 工作 。 


2.3.3 注销 :登录 天 入 交加 二 


若 暂 时 不 想 使 用 此 计算 机 ， 但 并 不 想 将 计算 机 关机 ， 可 以 选择 注销 或 锁定 计算 机 。 请 单 
击 左下 角 的 开始 图 标 田 ， 然 后 单 击 图 2-3-7 中 代表 用 户 账 户 的 头像 图 标 ; 
站 锁定 : 锁定 期 间 所 有 的 应 用 程序 仍然 会 继续 运行 。 若 要 解除 锁定 ， 以 便 继 续 使 用 此 
计算 机 ， 则 需 重 新 输入 密码 。 


涪 注销 : 注销 会 结束 您 目前 正在 执行 的 应 用 程序 。 之 后 若 要 继续 使 用 此 计算 机 ， 则 必 
须 重 新 登录 。 


图 2-3-7 


若 要 将 计算 机 关机 或 重新 启动 ， 请 单 击 左下 角 的 开始 图 标 困 3 如 图 2-3-8 所 示 单 击 关 机 或 
重启 。 


Windows Server 2016 系统 配置 指南 


远程 度 荐 库 接 击 作 责 者 窗 


图 -2-3-8 


您 也 可 以 直接 按 DB 人 ll 键 ， 然 后 在 图 2-3-9 的 界面 中 单 击 锁定 、 注 销 等 功能 ， 或 


单 击 右 下 角 的 关机 图 标 。 


图 2.3-9 


若 计算 机 内 除了 系统 管理 员 账 户 Administrator 外 ， 还 有 其 他 用 户 账 户 可 用 ( 目前 还 没 
有 ) ， 则 系统 可 以 让 您 选择 其 他 用 户 账 户 来 登录 。 
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本 章 将 介绍 如 何 设置 Windows Server 2016 的 基本 环境 ， 以 便 能 够 熟悉 与 拥有 基本 的 服务 


器 管理 外 


区 区 区 区 区 区 区 :区 攻 


。 


屏幕 的 显示 设置 

计算 机 名 与 TCP/IP 设 置 

连接 Internet 与 激活 Windows 系 统 
Windows 防 火 墙 与 网 络 位 置 
硬件 设备 的 管理 

歌 认 启动 系统 的 设置 

环境 变量 的 管理 

计算 机 关机 方式 与 电源 计划 

其 他 的 环境 设置 


- 寺 - Windows Server 2016 系统 配置 指南 


3.1 屏幕 的 显示 设置 


通过 对 显示 设置 做 适当 的 调整 ， 可 以 让 监视 器 得 到 最 佳 的 显示 效果 ， 使 观看 屏幕 时 更 方 
便 、 眼 睛 更 舒服 。 


称 为 全 彩 ) 。 


若 系统 的 显示 分 辨 率 不 符合 需要 ， 可 以 右 击 桌 面 空 白 处 纺 显 示 设 置 3 单 击 高 级 显示 设置 


人 然后 通过 图 3-1-1 的 分 辨 率 来 调整 。 


二 
有 


屏幕 上 所 显示 的 字符 是 由 一 点 一 点 所 组 成 的 ， 这 些 点 被 称 为 像素 〈pixel) ， 可 以 自行 调 
整 水平 与 垂直 的 显示 点 数 ， 例 如 水 平 1920 点 、 垂 直 1080 点 ， 此 时 我 们 将 其 称 为 “分 辩 率 为 
1920X1080”， 分 辩 率 越 高 ， 界 面 越 细腻 ， 影 像 与 对 象 的 清晰 度 越 好 。 每 一 个 像素 所 能 够 显 
示 的 颜色 的 数量 要 看 利用 多 少 位 〈bit) 来 显示 1 像素 ， 例 如 若是 由 16 位 来 显示 1 像素 ， 则 1 像 
素 可 以 有 216 =65 536 种 颜色 〈 被 称 为 高 彩 ) ， 同 理 32 位 可 以 有 232 = 4 294 967 296 种 颜色 〈 被 


腊 
仍 高 级 显示 设置 
1 
标 况 。” 校 测 
2 一 一 
Ce 池 
RE 
颜色 设置 
栅 色 管理 
酮 色 校 准 
相关 设置 
ClearType 文本 
文本 和 其 他 项 目 大小 鸯 各 的 高 级 选项 
> 
图 3-1-1 


显示 适配器 ( 或 显示 控制 器 ) 与 监视 器 都 必须 支持 所 设置 的 分 辨 率 ， 若 所 设置 的 分 辨 率 


超出 范围 ， 监 视 器 本 身 会 显示 警告 信息 ， 此 时 请 等 15 秒 或 按 圆 键 ( 还 原 ) ， 系 统 就 会 恢 
复 之 前 的 设置 ， 请 不 要 按 圆 键 ( 保留 变更 ) ， 因 为 这 表示 接受 不 妥当 的 设置 。 
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若 要 同时 更 改 屏幕 分 辨 率 、 显 示 颜 色 与 屏幕 刷新 频率 ; 【 单 击 前 面 图 3-1-1 左 下 方 的 显示 
适配器 属性 2 如 图 3-1-2 所 示 通 过 罚 国 六 省 午 国 按钮 来 设置 】. 


Generic Non-pnP Monitor 和 VMware SVGA 3D 履 性 


屏幕 上 的 文字 或 其 他 项 目 可 以 被 放大 ， 以 便 更 轻松 地 浏览 界面 ， 此 调整 工作 可 以 通过 增 
加 DPI (dots perinch， 每 英寸 的 显示 点 数 ) 来 实现 。 也 可 以 缩小 DPI 来 让 屏幕 上 的 文字 或 其 他 
项 目 变 小 ， 如 此 便 可 以 让 屏幕 容纳 更 多 信息 。 更 改 DPI 的 方法 为 : 【 右 击 桌面 空白 处 令 显 示 


设置 2 通过 图 3-1-3 来 设置 】， 默 认为 100%， 也 就 是 96 DPI。 


志 要 吧 口 X 
| 加 需 自 定 义 显示 器 

| 系统 

二 硬 生 

在 ”应 用 和 功能 

污 。 久 应 用 [2 

渤 

| = 大 和 
人 半 码 司 
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3.2 计算 机 名 与 TCP/IP 设 置 


计算 机 名 与 TCP/PP 的 耳 地 址 用 来 识别 计算 机 的 信息 ， 它 们 是 计算 机 之 间 相 互通 信 所 需要 
的 信息 。 


每 一 台 计 算 机 的 计算 机 名 必须 是 唯一 的 ， 不 应 该 与 网 络 上 其 他 计算 机 重复 ， 虽 然 系统 会 
自动 设置 计算 机 名 ， 不 过 建议 将 此 计算 机 名 改 为 容易 识别 的 名 称 。 

此 外 建议 将 同一 部 门 或 工作 性 质 类 似 的 计算 机 划分 为 同一 个 工作 组 ， 让 这 些 计算 机 之 间 
通过 网 络 通信 时 更 为 方便 。 每 一 台 计 算 机 所 隶 属 的 工作 组 名 默认 都 是 WORKGROUP。 更 改 计 


算 机 名 或 工作 组 名 的 方法 如 下 所 示 。 
STEP 圈 ” 单 击 左下 角 开 始 图 标 困 福 服务 器 管理 器 纺 单 击 图 3-2-1 中 本 地 服务 器 右 侧 由 系统 自动 
设置 的 计算 机 名 。 


已 茜 第 
调 DHCP 分 下 的 pv4 地 址 ，ipPv6 已 后 用 


强 作 系统 版 本 Microsoft Windows Server 2016 Detacenter 
碌 件 信息 VMware inc VMware Virtual 


图 3-2-1 


Windows 10 更 改 计算 机 名 的 方法 可 为 : 【 单 击 堪 下 角 的 开始 图 标 田 2 单 击 设置 图 标 园 2 
系统 人 关于 了 重 命名 电脑 】。 


STEP 四 。” 单 击 图 3-2-2 中 的 转轴 按钮 。 


加 :2 
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图 322 


STEP 回 更改 图 3-2-3 中 的 计算 机 名 后 单 击 辆 呈 按 钮 ( 图 中 并 未 更 改 工作 组 名 称 ) ， 按 照 提 示 
重新 启动 计算 机 后 ， 这 些 更 改 才 会 生效 。 


一 台 计 算 机 若 要 与 网 络 上 其 他 计算 机 通信 ， 还 需要 配置 适当 的 TCP/P 下 值 ， 例 如 正确 的 卫 
地 址 。 一 台 计 算 机 取得 耳 地 址 的 方式 有 两 种 : 


妆 自动 获取 IP 地 址 : 这 是 默认 值 ， 此 时 计算 机 会 自动 向 DHCP 服务 器 租用 也 地 址 ， 这 
台 服 务 器 可 能 是 一 台 计 算 机 ， 也 可 能 是 一 台 具 备 DHCP 服 务 器 功能 的 耳 共 享 器 
(NAT) 、 宽 带路 由 器 、 无 线 AP 等 。 
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若 找 不 到 DHCP 服 务 器 ， 此 计算 机 会 利用 Automatic Private IP Addressing 机 制 
(APIPA ) 来 自动 为 自己 配置 一 个 符合 169.254.0.0/16 格 式 的 耻 地 址 ， 不 过 此 时 仅 能 
够 与 同一 个 网 络 内 也 是 使 用 169.254.0.0/16 格 式 的 计算 机 通信 和 。 
这 个 169.254.0.0/16 的 卫 地 址 只 是 临时 性 的 ， 该 计算 机 仍然 会 继续 定期 查找 DHCP 服 务 
器 ， 一 直到 租用 到 正式 的 下地 址 为 止 。 
自动 获取 方式 适用 于 企业 内 部 普通 用 户 的 计算 机 ， 它 可 以 减轻 系统 管理 员 手 动 配置 
的 负担 ， 并 可 避免 手动 配置 可 能 发 生 的 错误 。 租 用 到 的 耳 地 址 有 使 用 期 限 ， 期 限 过 
后 ， 下 一 次 计算 机 开机 所 租用 到 的 耳 地址 可 能 会 与 前 一 次 不 同 。 

浊 手动 配置 了 地 址 : 这 种 方式 会 增加 系统 管理 员 的 负担 ， 而 且 手动 配置 容易 出 错 ， 比 
较 适 合 于 企业 内 部 的 服务 器 来 使 用 。 


配置 IP 地 址 
STEP 和 加 。 单 击 左 下 角 开始 图 标 田 2 服 务 器 管理 器 3 单 击 图 3-2 当 中 本 地 服务 器 右 侈 以 太 网 的 配 


M6crosoft Windows Server 2016 Datacenter 。 站 理 吴 
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你 也 可 以 使 用 以 下 方法 : 【 右 击 丰 下 方 任务 栏 的 网 络 图 标 纺 打开 网 络 和 共享 中 心 3 单 击 
以 太 网 】。 


STEP 回 ”双击 图 3-2-5 中 的 以 太 网 。 


STEP 
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2 个 项 目 ”选中 1 个 顶 目 [起 


图 3-2-5 


在 图 3-2-6 中 单 击 属性 2Internet 协 议 版 本 4 ( TCP/IPv4 ) 仿 属 性 。 


STEP 四 ”在 图 3-2-7 中 设置 了 地 址 、 子 网 掩 码 、 默 认 网 关 与 首选 DNS 服务 器 等 。 


IP 地 址 : 请 自行 根据 计算 机 所 在 的 网 络 环境 来 设置 ， 或 依照 图 来 设置 。 

子 网 撼 码 : 请 根据 计算 机 所 在 的 网 络 环境 来 设置 ， 若 趾 地 址 配置 为 图 3-2-7 中 的 
192.168.8.1， 则 可 以 输入 255.255.255.0， 或 在 了 地 址 输入 完成 后 直接 按 国 图 键 ， 系 
统 会 自动 填 入 子 网 掩 码 的 默认 值 。 

默认 网 关 : 若 位 于 企业 内 部 局 域 网 络 的 计算 机 要 通过 路 由 器 或 IP 共 享 器 (NAT ) 
来 连接 Internet， 此 处 请 输入 路 由 器 或 耻 共 享 器 的 局 域 网 络 耳 地址 (LAN IP 地 
址 ) ， 此 处 假设 是 192.168.8.254， 否 则 保留 空白 不 输入 即 可 。 

首选 DNS 服务 器 : 若 位 于 企业 内 部 局 域 网 络 的 计算 机 要 上 网 ， 此 处 请 输入 DNS 服 
务 器 的 耳 地 址 ， 它 可 以 是 企业 自行 搭建 的 DNS 服务 器 、Internet 上 任何 一 台 工 作 中 
的 DNS 服务 器 或 耻 共 享 器 的 局 域 网 络 了 地 址 (LAN 了 地 址 ) 等 。 

备用 DNS 服务 器 : 若 首选 DNS 服务 器 故障 、 没 有 响应 ， 会 自动 使 用 此 处 的 DNS 服 
务 器 。 
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Internet 协议 版 本 4 (TCP/IPv4) 尾 性 


如果 网 络 支持 此 功能 ， 则 可 以 获取 自动 措 派 的 |P 设置 。 否 则 ,你 需要 从 网 
络 系统 管理 员 处 获得 适当 的 IpP 设置 。 


〇 自动 匡 得 |p 地 址 (O) 
团 使 用 下 而 的 Ip 地 址 (S): 

io 
aa 


自动 获得 DNS 服务 器 地 址 (B) 
图 使 用 下 面 的 DNS 服务 器 地 址 (E): 
曹 选 DNS 最 务 器 (P}: 
备用 DNS 骂 务 器 (A): 


图 3-2-7 
STEP 回 。 配置 完成 后 按 顺序 单 击 功 测 、 关 济 扩 钮 来 结束 配置 。 


查看 IP 地 址 的 有 效 配 置 值 


如 果 耳 地 址 是 自动 获取 的 ， 则 可 能 想 要 知道 所 租用 到 的 卫 具 体内 容 是 什么 ， 即 使 耳 地址 
是 手动 配置 的 ， 所 配置 的 瑟 地 址 也 不 一 定 就 是 可 用 的 耳 地 址 ， 例 如 耳 地 址 已 经 被 其 他 计算 机 


事先 占用 了 。 你 可 以 通过 图 3-2-8 的 服务 器 管理 器 来 查看 了 了 地 址 的 有 效 配 置 值 为 192.168.8.1。 


若 要 查看 更 详细 的 内 容 : 【 单 击 图 3-2-8 中 轩 起 来 的 部 分 人 双击 以 太 网 如 图 3-2-9 所 示 单 


击 背 景 图 中 详细 信息 按钮 后 ， 就 可 以 从 前 景 图 中 看 到 下地 址 的 有 效 配置 值 】， 从 图 3-2-9 中 还 
可 看 到 网 卡 的 物理 地 址 (MAC address) 为 3C-97-0E-B3-48-3D。 


己 茜 用 于 父 
| R 朵 192168.8.T 7 1Pv6 已 启用 产品 和 
区 
| 2 Microsoftt Windows Server 2016 Datacenter 

硬 条 信息 LENOVD 23062B8 
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fe80:6d98:5691ied7cdf9c1%7 


也 可 以 【 右 击 开始 图 标 田 Q 命 令 提示 符 】， 然 后 执行 pconfig 或 ipconfig /al 来 查看 IP 地 
址 的 有 效 配 置 值 。 


找 出 4IP 地 址 冲突 的 计算 机 


若 计算 机 的 卫 地 址 与 网 络 上 另外 一 台 计 算 机 相同 ， 而 且 是 另外 一 台 计 算 机 先 启动 并 使 用 
此 了 王 地 址 ， 则 另外 一 台 计 算 机 将 无 法 使 用 此 下地 址 ， 不 过 系统 会 另外 自动 分 配 一 个 
169.254.0.0/16 格 式 的 了 下地 址 给 计算 机 临时 使 用 ， 且 在 服务 器 管理 器 内 会 显示 如 图 3-2-10 所 示 
的 多 个 IPv4 地 址 信息 。 
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若 要 查看 更 详细 的 内 容 : 【 单 击 图 3-2-10 中 国 起 来 的 部 分 令 双 击 网 卡 名 称 〈Ethernet0) 仿 
单 击 详细 信息 按钮 】， 之 后 就 可 以 从 图 3-2-11 中 同时 看 到 APIPA 的 卫 地 址 169.254.102.48 与 原 
先 手 动 配置 的 卫 地 址 192.168.8.1。 


图 3-2-11 


也 可 以 利用 ipconfig /all 命 令 来 查看 这 些 数 据 ， 如 图 3-2-12 所 示 ， 图 中 的 169.254.102.48 地 
址 最 后 注 明 它 是 首选 (Preferred) 的 耳 地 址 ， 而 192.168.8.1 地 址 则 注 明 着 它 是 复制 《重复 ) 的 
IP 地 址 。 


国 全 只; 命令 提示 符 运 人 又 


:MIindowsVsystem32>ipcoanfig /all 


: 8257 和 外 6igabit Network Connection 
7D-BC-89 


。 :+ fe80; :6ce6:7ce4:af82:6630%5( 首 选 ) 
: 169. 254. 3 和 (首选 ) 中 一 一 


图 32-12 


可 以 通过 事件 查看 器 来 找 出 是 哪 一 台 计 算 机 的 卫 地 址 与 当前 计算 机 冲突 : 【 单 击 左下 方 
开始 图 标 困 QWindows 管 理工 具 人 事件 查看 器 仿 展 开 Windows 日 志 仿 系统 纺 单 击 中 间 窗 口 有 红 
色 惊 叹 号 且 来 源 为 Tepip 的 事件 】， 就 可 以 从 下 方 得 知 此 计算 机 《〈 耳 地 址 为 192.168.8.1) 与 网 


辆 > 
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卡 物 理 地 址 为 00-0C-29-29-06-15 的 计算 机 相 冲 突 。 


善 用 Ping 命令 来 排 错 
可 以 利用 Ping 命 令 来 检查 网 络 问题 ， 找 出 不 正确 的 配置 。 请 单 击 左下 方 开始 图 标 困 2 
Windows 系 统 纺 命令 提示 符 ， 然 后 建议 通过 以 下 的 顺序 来 执行 Ping 命 令 。 


STEP 回 执行 环 回 测试 ( 1oopback test ) ， 它 可 以 检测 本 地 计算 机 的 网 卡 硬 件 与 TCP/IP 驱 动 
程序 是 否 可 以 正常 接收 、 发 送 TCP/IP 数 据 包 。 请 如 图 3-2-14 所 示 输 入 ping 
127.0.0.1， 若 正常 ， 则 会 出 现 类 似 图 3-2-14 中 的 回复 界面 ( 总 共 自 动 测试 4 次 ， 故 会 
收 到 4 次 回复 ) 
苹 管理 员 : 命令 提示 符 


:AMVWindowsXMsystem32>ping 127.0.0.1 


日 
人 TIL=128 


图 3-2-14 


STEP 加 Ping 同 一 个 网 络 内 其 他 计算 机 的 了 下地 址 ( 例如 192.168:8.2 ) : 
外 若 计 算 机 IP 地 址 是 手动 配置 的 ， 且 没有 与 其 他 计算 机 冲突 ， 则 此 时 应 该 会 出 现 类 似 
图 3-2-15 来 自 对 方 计算 机 的 回复 界面 。 
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羡 管理 员 : 命令 提示 符 
:AindowsNSystem32>ping 192. 168. 8. 2 


eg 2 1 8， 什 维 32 字 节 的 

192. 1 =32 《lms TIL=128 
192. i68 & 2 1 Se TIL=128 
192. 168. 8.2 =32 lms TIL=128 


192. 168. 8. 2 | | < TIL=128 


192 拓 和 让 cr 技 失 = 0 (0% 技 失 ) ; 
人 
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若 所 Ping 的 计算 机 不 存在 或 此 计算 机 已 经 启用 Windows 防 火 墙 ( 这 是 默认 值 ， 则 此 Ping 
所 回 送 的 数据 包 会 被 防火 墙 阻 挡 ) ， 此 时 会 出 现 类 似 图 3-2-16 的 界面 。 
国 管理 员 : 命令 提示 符 


:MYWindowsNSystem32>ping 192. 168.8.2 
1 Ping 192. 168. 8.2 具有 32 字 节 的 数据 ; 


0 | 


站 若 计算 机 的 卫 地 址 是 手动 配置 的 ， 且 IP 地 址 与 其 他 计算 机 冲突 ， 则 此 时 计算 机 的 卫 地 
址 会 是 169.254.0.0/16 的 格式 : 
国 车 计算 机 已 经 指定 正确 默认 网 关 ， 则 它 还 是 可 以 通过 默认 网 关 来 与 同一 个 网 络 内 
的 其 他 计算 机 通信 ， 也 就 是 仍然 会 显示 图 3-2-15 的 界面 。 
国 若 计 算 机 没有 指定 正确 默认 网 关 ， 则 它 只 能 与 同一 个 网 络 内 同样 是 使 用 
169.254.0.0/16 的 计算 机 通信 ， 此 时 若 Ping 其 他 非 使 用 169.254.0.0/16 的 计算 机 ， 则 
会 出 现 类 似 图 3-2-17 的 界面 。 


页 管理 员 : 命令 提示 符 


:MindowsNSystem32>ping 192. 168. 8.2 


= 收 = 4 丢失 = 0 (0% 技 失 )， 


3-2-17 
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国 若 计算 机 的 也 了 地址 是 自动 从 DHCP 服 务 器 获取 的 ， 则 Ping 同 一 个 网 络 内 的 计算 机 

时 ， 可 以 正常 收 到 对 方 所 回 送 的 响应 ， 也 就 是 会 出 现 类 似 图 3-2-15 的 界面 ; 但 若 
无 法 从 DHCP 服 务 器 获取 卫 地 址 ， 则 计算 机 的 下 地 址 会 是 169.254.0.0/16， 而 且 它 
将 只 能 与 同一 个 网 络 内 也 是 使 用 169.254.0.0/16 的 计算 机 通信 ， 此 时 若 Ping 其 他 非 
使 用 169.254.0.0/16 的 计算 机 ， 则 会 出 现 类 似 图 3-2-17 的 界面 ， 

STEP 图 Ping 默认 网 关 的 卫 地 址 。 它 可 以 检测 当前 计算 机 是 否 能 够 与 默认 网 关 正 常 通信 ， 若 
正常 的 话 ， 之 后 才 可 以 通过 默认 网 关 来 与 其 他 网 络 的 计算 机 通信 。 

STEP 四 ”Ping 其 他 网 络 内 的 远程 计算 机 ， 例 如 ping 8.8.8.8， 此 Ping 命 令 的 数据 包 会 通过 默 
认 网 关 传 送 到 远程 计算 机 ， 若 能 够 正常 通信 ， 则 会 出 现 类 似 图 3-2-15 的 界面 ( 假设 
计算 机 已 经 配置 正确 的 默认 网 关 IP 地 址 ) 。 


实际 上 只 要 STEP 加 成 功 的 话 ，STEP 贺 到 STEP 轿 都 可 以 省 略 。 若 STEP 回 失败 的 话 ， 可 能 就 
需要 从 STEP 轿 倒退 ， 依 序 往 前 面 的 步骤 测试 ， 以 便 找 出 问题 所 在 点 。 


3.3 连接 Internet 与 激活 Windows 系 统 


Windows Server 2016 一 般 都 扮演 着 企业 内 部 重要 服务 器 的 角色 ， 因 此 我 们 不 应 该 利用 它 
来 承担 浏览 网 页 、 收 发 电子 邮件 等 工作 ， 因 为 这 样 会 增加 服务 器 被 攻击 的 风险 。 

然而 Windows Server 2016 安 装 完成 后 ， 需 执行 激活 程序 ， 以 便 拥 有 完整 的 系统 功能 ， 还 
有 此 计算 机 也 必须 定期 连接 Windows Update 网 站 ， 以 便 下 载 与 安装 最 新 的 更 新 程序 。 以 上 操 
作 都 需要 先 让 此 可 以 连接 Internet。 


关 计 算 机 是 位 于 企业 内 部 局 域 网 络 ， 并 且 是 通过 路 由 器 或 NAT〈 卫 共享 器 ) 来 连接 
Internet， 则 需要 将 其 默认 网 关 指 定 到 路 由 器 或 NAT 的 卫 地 址 《参考 图 3-2-7 的 相关 说 明 ) 。 另 
外 ， 还 有 需 在 首选 DNS 服务 器 处 输入 企业 内 部 DNS 服务 器 的 耳 地 址 或 Internet 上 任何 一 台 运 行 
中 的 DNS 服务 器 的 钙 地址。 


若 计算 机 是 通过 调制 解 调 器 ( modem ) 、ADSL、Cable Modem 等 连接 到 Internet， 则 默 
认 网 关 与 首选 DNS 服务 器 两 处 都 可 以 保留 空白 ， 因 为 连 上 ISP ( Internet 服 务 提供 商 ， 例 
如 中 国电 信 ) 后 ，ISP 会 自动 为 该 连接 配置 耳 地 址 、 默 认 网 关 与 DNS 服务 器 等 ， 并 利用 
此 连接 来 上 网 。 
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为 了 提高 上 网 效率 与 内 部 网 络 的 安全 性 ， 大 部 分 企业 会 让 位 于 内 部 网 络 中 的 计算 机 通过 
代理 服务 器 〈proxy server) 来 上 网 。 当 用 户 的 计算 机 通过 代理 服务 器 上 网 时 ， 代 理 服务 器 会 
代替 用 户 的 计算 机 到 网 站 取得 所 需 网 页 对 象 ， 并 将 这 些 对 象 缓存 〈cache) 到 代理 服务 器 的 组 
存 区 ， 之 后 有 用 户 要 上 网 访问 这 些 相同 的 对 象 时 ， 代 理 服 务 器 便 可 以 快速 从 缓存 区 取得 对 和 象 
后 传送 给 用 户 的 计算 机 ， 不 需要 再 次 上 网 读 取 ， 因 此 可 以 提高 访问 效率 。 此 外 代理 服务 器 也 
可 以 提供 防火 墙 功能 ， 以 加 强 内 部 局 域 网 络 的 安全 性 。 

让 Windows Server 2016 计 算 机 通过 代理 服务 器 上 网 的 设置 方法 为 : 如 图 3-3-1 单 击 任务 栏 
左下 角 的 Internet Explorer 图 标 。 


3-3-1 


A 昌 键 2 工具 菜单 2Internet 选 项 纺 如 图 3-3-2 所 示 单 击 连接 选项 卡 下 的 局 域 网 设 
置 坟 输入 企业 内 部 代理 服务 器 的 主机 名 或 下 地 址 、 端 口号 码 〈 图 中 是 随意 设置 的 范例 ) 】。 
若 代理 服务 器 支持 Web Proxy Autodiscovery Protocol (WPAD) ， 则 可 以 色 选 自动 检测 设置 。 
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在 Windows 10 内 指定 代理 服务 器 的 方法 为 : 【 右 击 左下 角 开 始 图 标 困 2 控制 面板 人 网 络 
和 共享 中 心 3Internet 选 项 2… 】。 


有 1 县 ET TRACETRSTY 


太 ONE 9 ES RE 
入 信人 的 二 人 [二 五 委 本 井下 作证 td 全 全 生 全 人 4 全 二 4 

二 呈 0 和 JJ 记 UDLSXV ATITEE 人 4 

、 3 本 0 4 二 


若 要 通过 ADSL 或 VDSL 非 固定 式 上 网 ， 则 除了 ATU-R《〈ADSL 调 制 解 调 器 ) 或 VTU-R 
(CVDSL 调 制 解 调 器 ) 设备 需要 正确 连接 之 外 ， 还 需 建 立 一 个 ADSL 或 VDSL 连 接 ， 并 通过 此 
连接 来 连接 ISP《〈 例 如 中 国电 信 ) 与 上 网 。 可 以 通过 网 络 和 共享 中 心 来 建立 ADSL 或 VDSL 连 
接 ， 其 配置 步骤 为 : 

STEP 贺 。 右 击 网 络 图 标 信 打开 网 络 和 共享 中 心 单 击 图 3-3-3 中 设置 新 的 连接 或 网 络 ( 图 中 假 
设 尚 未 连接 Internet ) 。 


3-3-3 


STEP 回 。 如 图 3-3-4 所 示 单 击 连接 到 Internet 后 单 击 病 国 强 按钮。 


3-3-4 


STEP 图 “如 图 3-3-5 所 示 单 击 宽带 ( PPPoE ) 。 
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和 所“ 唤 连 纺 唱 | Internet 
你 希望 如 何 连接 ? 


宽带 (PPPoEJ(R) 
< 光合 用 过 要 用 户 名 和 客 码 的 DSL 或 电线 连接 。 


图 3-3-5 


STEP 加 ”在 图 3-3-6 中 输入 用 来 连接 ISP 的 用 户 名 与 密码 ( 假设 连接 名 称 为 Hinet ) ， 然 后 单 
击 国生 按 钮 就 可 以 连接 ISP 与 上 网 。 


所 “入 连 深 到 Internet 


键入 你 的 Internet 服务 提供 商 (ISP) 提 供 的 信息 
用 户 名 (Uj: 189com 


密码 (P): 本 本 和 二 和 和 人 


口 曙 示 字 竺 (S) 
回 记 住 此 密码 (R) 


连接 名 称 (N): Hinet 


者 口 允许 其 他 人 使 用 此 连接 (A 
这 个 选项 允许 可 以 访问 这 人 台 计 算 机 的 人 使 用 此 连接 。 


图 3-36 


STEP 贺 ”完成 所 有 配置 后 ， 以 后 要 连接 的 话 可 以 通过 : 【 右 击 右 下 方 任务 栏 的 网 络 图 标 令 打开 网 
络 和 共享 中 心 纺 单 击 图 3-3-7 中 的 更 改 适配器 设置 了 双击 PPPoE 连 接 ( 例如 Hinet ) 纺 单 击 
右 侧 Hinet 令 单 击 连接 】。 若 要 修改 此 连接 的 相关 配置 ，【 右 击 此 连接 纺 属 性 】。 


图 3-3-7 
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Windows Server 2016 应 该 扮演 着 重要 服务 器 的 角色 ， 我 们 不 应 该 利用 它 来 上 网 ， 因 为 这 
样 会 增加 被 攻击 的 风险 ， 因 此 Windows Server 2016 默 认 会 通过 启用 下 增强 的 安全 配置 (IE 
ESC) 来 将 下 的 安全 级 别 设置 为 高 安全 性 ， 而 它 会 阻挡 连接 绝 大 部 分 网 站 〈 除 了 少数 微软 网 
站 ， 例 如 Windows Update 网 站 ) 。 

若 要 调整 IE 安全 级 别 ， 以 便 能 够 无 障碍 地 连接 绝 大 部 分 网 站 ， 请 停 用 正 ESC: 【 单 击 左 
下 角 开 始 图 标 田 信 服务 器 管理 器 人 单 击 图 3-3-8 中 本 地 服务 器 右 侧 的 亚 增 强 的 安全 配置 处 的 启 
用 2 通过 前 景 图 来 关闭 此 设置 】， 图 中 我 们 只 针对 系统 管理 员 来 停 用 卫 ESC， 也 可 以 将 普通 
用 户 的 下 ESC 关 闭 。 


lntel(R) CorefTM) 滞 -3230M CPU 四 24 
46GB 


59.51 GB 


图 3-3-8 
关闭 后 ， 王 的 Internet 安 全 级 别 会 自动 被 降 为 中 高 ， 它 就 不 会 阻挡 所 连接 的 任何 网 站 了 。 


若 要 查看 Intermet 当 前 的 安全 级 别 或 想 要 调整 到 其 他 安全 级 别 : 【打开 IE2 按 园 | 键 2 工 
具 菜 单 23Intermet 选 项 3 安全 选项 卡 】， 如 图 3-3-9 所 示 。 
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和 


Hit 剖 ， 


Windows Server 2016 安 装 完成 后 需 执 行 激 活 程序 ， 和 否则 有 些 功能 无 法 使 用 ， 例 如 无 法 更 
改 背景 、 色 彩 等 。 启 用 Windows Server 2016 的 方法 : 【 单 击 左下 角 开 始 图 标 田 纺 服务 器 管理 
器 纪 单 击 图 3-3-10 中 本 地 服务 器 右 侧 的 产品 ID 处 的 状态 值 来 输入 产品 密 钥 与 激活 】。 


尚未 激活 前 ， 桌 面 右 下 角 会 显示 类 似 激 活 Windows 的 字样 ， 激 活 完成 后 就 会 消失 。 


若是 评估 版 的 话 ， 则 可 以 试用 180 天 ， 且 桌面 右 下 方 会 显示 评估 期 的 剩余 天 数 ， 也 可 以 打 
开 命令 提示 符 窗 口 ， 然 后 执行 如 图 3-3-11 所 示 的 stmgr /dlv 来 查看 剩余 的 评估 期 。 


国 4 
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errrerrreeereror 一 ripeerreicrrorererrrereoereerronrywceoa 
Windows Script Host 头 


| 


支 蒜 ID; 
26790219871781240426408382269474413674800574228135431134657504 
83 


省 中 三 和 届 得 授 ] 


信人 Enj 间 : 2017/11/11 12:00.00 
已 配 辕 的 激活 关 型 ; 
请 使 用 simgrvbs /ato 激活 并 更 新 KMS 客户 端 信息 以 更 新 值 。 


图 3-3-11 


3.4 Windows 防 火 墙 与 网 络 位 置 


Windows Server 2016 内 包含 的 Windows 防火 墙 可 以 保护 计算 机 ， 如 免 遭 受 外 部 恶意 软件 
的 攻击 。 系 统 将 网 络 位 置 分 为 专用 网 络 、 公 用 网 络 与 域 网 络 ， 而 且 可 以 自动 判断 与 设置 计算 
机 所 在 的 网 络 位 置 ， 例 如 加 六 域 的 计算 机 的 网 络 位 置 自动 被 设置 为 域 网 络 。 你 可 以 通过 网 络 
和 共享 中 心 来 查看 网 络 位 置 ， 如 图 3-4-1 所 示 ， 此 计算 机 所 在 的 网 络 位 置 为 公用 网 络 。 


鞭 网络 和 共享 9 心 wy 人 光 
个 ， 电 “ 所 有 控制 面板 项 ， 网 络 和 共享 中 心 v ] 忆 | | 夫 坟 市 画板 户 
拉 制 面板 主页 查看 基本 网 络 信息 并 设置 连接 
坦 让 活动 网 络 WE 
更 改 适 配器 设置 
更 改 高 级 共享 设置 网 络 -| 请 有 本 Internet 
公用 网 络 1 连接 站 Ethernet0 
更 改 网 络 设置 省 


另 十 参加 
IAernet 选 大 PR 本 答 


图 3-41 


为 了 增加 计算 机 在 网 络 中 的 安全 性 ， 位 于 不 同 网 络 位 置 的 计算 机 有 着 不 同 的 Windows 防 
火 墙 设置 ， 例 如 位 于 公用 网 络 的 计算 机 ， 其 Windows 防 火 墙 的 设置 较为 严格 ， 而 位 于 专用 网 
络 的 计算 机 则 较为 宽松 。 


47 国 
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若 要 自行 更 改 网 络 位 置 ， 例 如 将 网 络 位置 从 公用 网 络 更 改 为 专用 网 络 ， 可 以 通过 【 单 击 
左下 角 开 始 图 标 困 Q Windows PowerShell】， 然 后 执行 以 下 命令 来 取得 网 络 名 称 〈 参 考 图 
3-4-2) ， 例 如 一 般 是 网 络 : 


Get-NetConnectionProfile ， ， 人 
接着 执行 以 下 指令 来 将 此 网 络 的 网 络 位 置 变更 为 Private: 
Set-NetConnectionProfile -Name "网 络 ”-NetworkCategory Private 


加 管理 员 : Windows PowerShell 一 口 X 


系统 默认 已 经 启用 Windows 防 火 墙 ， 它 会 阻挡 其 他 计算 机 来 与 此 台 计 算 机 通信 。 关 要 更 
改 设置 的 话 : 【 右 击 左下 角 的 开始 图 标 田 2 控 制 面 板 纺 系统 和 安全 人 Windows 防火 墙 3 单 击 图 
3-4-3 背 景 图 中 的 启用 或 关闭 Windows 防 火 墙 人 2 通过 前 景 图 来 更 改 】， 图 中 可 分 别针 对 专用 网 
络 与 公用 网 络 位 置 来 设置 ， 且 这 两 个 网 络 默认 已 启用 Windows 防火 墙 ， 并 且 会 阻挡 绝 大 部 分 


的 入 站 连接 程序 。 
国 windows 打 大 雹 
4 ~ 不 | 区 ， 近 制 珠 ， 系 流 和 安全 ，Windows 防火 二 v 已 | 入 实 注 制 困 居 户 
使 用 Windows 防火 墙 来 帮助 保护 你 的 电脑 
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Windows 防火 墙 会 阻挡 绝 大 部 分 的 入 站 连接 ， 不 过 可 以 通过 单 击 图 3-4-3 背 景 图 左上 方 的 
允许 应 用 或 功能 通过 Windows 防火 墙 来 解除 对 某 些 程序 的 阻挡 ， 例 如 要 允许 网 络 上 其 他 用 户 
来 访问 计算 机 内 的 共享 文件 与 打印 机 ， 请 色 选 图 3-4-4 中 文件 和 打印 机 共享 ， 且 可 以 分 别针 对 
专用 网 络 与 公用 网 络 来 设置 〈 若 此 计算 机 已 经 加 入 域 ， 则 还 会 有 域 网 络 供 选择 ) ;， 又 例如 若 
要 开放 通过 远程 课 面 服务 来 连接 ， 请 勾 选 远程 桌面 。 


若 要 进一步 设置 Windows 防 火 墙 规则 ， 则 可 以 通过 高 级 安全 Windows 防 火 墙 进行 设置 : 
【 单 击 左下 角 开 始 图 标 困 3Windows 管理 工具 驴 高 级 安全 Windows 防火 墙 】 (或 单 击 图 3-4-3 
背景 图 左 侧 的 高 级 设置 ) ， 之 后 可 由 图 3-4-5 左 侧 看 出 它 可 以 同时 针对 入 站 与 出 站 连接 来 分 别 
设置 访问 规则 (图 中 的 入 站 规则 与 出 站 规则 ) 。 


人 


人 | 
和 


司 呈 目 
生 


醒 止 与 规则 不 | 


让 证 
由 


| 
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不 同 的 网 络 位置 可 有 不 同 的 Windows 防火 墙 规则 设置 ， 同 时 也 有 不 同 的 配置 文件 ， 而 这 
些 配置 文件 可 通过 以 下 方法 来 更 改 : 【选中 图 3-4-5 左 侧 本 地 计算 机 上 的 高 级 安全 Windows 防 
火 墙 操 作 人 属性 】， 如 图 3-4-6 所 示 ， 图 中 针对 域 、 专 用 与 公用 网 络 位 置 的 入 站 与 出 站 连接 
分 别 有 不 同 设置 值 ， 这 些 设 定 值 包含 ， 

浊 阻止 ( 软 认 值 ) : 阻止 没有 防火 墙 规 则 明确 允许 连接 的 所 有 连接 。 

浊 阻止 所 有 链接 : 阻止 全 部 连接 ， 不 论 是 否 有 防火 墙 规则 明确 允许 的 连接 。 

站 允许: 允许 连接 ， 但 有 防火 墙 规则 明确 阻止 的 连接 除外 。 


可 以 针对 特定 程序 或 流量 来 允许 或 阻止 ， 例 如 Windows 防 火 墙 默认 是 开启 的 ， 因 此 网 络 
上 其 他 用 户 无 法 利用 Ping 命 令 来 与 计算 机 通信 ， 若 要 开放 的 话 ， 可 通过 高 级 安全 Windows 防 
火 墙 的 入 站 规则 来 开放 ICMP Echo Request 数 据 包 : 【 单 击 图 3-4-7 背 景 图 入 站 规则 中 的 文件 和 
打印 机 共享 〈 回 显 请 求 - ICMPv4-In) 纺 匀 选 已 启用 】。 
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如 果 待 放 开 的 服务 或 应 用 程序 未 列 在 列表 中 ,可 在 此 处 通过 新 建 规则 来 开放 ,例如 此 计 
算 机 是 网 站 服务 器 ， 而 要 开放 让 其 他 用 户 来 连接 此 网 站 的 话 ， 可 通过 单 击 图 3-4-8 中 的 
新 建 规则 来 建立 一 个 开放 端口 号 码 为 80 的 规则 ( 若是 安装 Windows Server 2016 内 置 的 
“Web 服 务 器 ( IS ) ”， 则 系统 会 自动 新 建 规则 来 开放 端口 80 ) 。 


国 高 豚 安 全 Windows 防火 壤 


文 tt 上“ 进 fEA) 坦 看 V Wi as 
全 中 | 直 肌 | 已 | 直 因 一 一 一 一 


其 其 
当当 


四 医 汪 二 直 二 下 二 汪 生 汪 ， 
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3.5 硬件 设备 的 管理 


由 于 Windows Server 2016 支 持 Plug and Play (PnP， 即 插 即 用 ) ， 因 此 在 安装 了 新 设备 后 
〈 例 如 网 卡 ) ， 只 要 系统 支持 该 设备 的 驱动 程序 (device driver) ， 系 统 就 会 自动 安装 此 驱动 
程序 ， 之 后 就 可 以 使 用 此 设备 了 。 

若是 新 上 市 的 设备 ， 系 统 可 能 尚未 支持 其 驱动 程序 ， 因 此 虽然 系统 检测 到 新 设备 ， 但 是 
却 无 法 找到 适当 的 驱动 程序 可 用 ， 此 时 系统 会 提示 要 求 提 供 驱 动 程序 〈 可 能 会 在 设备 厂商 所 
附 的 光盘 内 ) 。 

如 果 所 安装 的 硬件 设备 无 法 被 系统 自动 检测 到 ， 此 时 可 尝试 通过 【 单 击 左下 角 开 始 图 标 
田 2 控 制 台 2 单 击 硬件 处 的 新 增 装置 】 的 途径 来 新 增 。 

也 可 以 利用 设备 管理 器 来 管理 计算 机 内 的 装置 : 【 单 击 左下 角 开始 图 标 田 人 控制 面板 人 
单 击 硬件 2 单 击 设 备 和 打印 机 处 的 设备 管理 器 】。 


若 要 添加 无 法 被 系统 自动 辨识 的 传统 硬件 设备 : 【 打开 设备 管理 器 人 右 击 计算 机 名 称 人 
添加 过 时 硬件 】。 
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可 以 在 图 3-5-1 的 设备 管理 器 界面 中 选中 某 设备 右 击 ， 将 该 设备 禁用 或 卸载 ， 也 可 以 扫描 
是 否 有 新 安装 的 设备 。 


若 某 设 备 是 由 系统 自动 检测 到 ， 并 自动 安装 驱动 程序 ， 虽 然 将 该 设备 外 载 ， 但 是 下 次 重 
新 启动 或 执行 扫描 检测 硬件 改动 操作 时 ， 该 设备 还 是 会 被 自动 检测 到 、 安 装 与 启用 ， 因 
此 若 不 想 使 用 该 设备 ， 可 采取 禁用 的 方式 ( 而 不 是 外 载 ) ， 或 者 直接 拔除 该 设备 ( 若 可 
以 拔除 的 话 ) 。 


在 更 新 某 设备 的 驱动 程序 后 ， 若 发 现 此 新 驱动 程序 无 法 正常 工作 ， 可 以 将 之 前 正常 的 驱 
动 程序 再 恢复 回来 ， 此 功能 称 为 回 退 驱动 程序 (driver rollback) 。 其 操作 步骤 为 : 【在 设备 
管理 器 界面 中 选中 该 设备 右 击 3 属 性 3 单 击 图 3-5-2 驱 动 程序 选项 卡 下 的 国 对 纺 蚤 往 剧 扩 钮 】 
(图 中 的 设备 因为 未 曾 更 新 过 驱动 程序 ， 故 无 法 单 击 国语 喧 生 咀 扩 钮 ) . 


国 >: 
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驱动 程序 经 过 签名 后 ， 该 程序 内 便 会 包含 一 个 数字 签名 ， 系 统 可 通过 此 签名 来 得 知 驱动 
程序 的 发 行 厂商 名 称 与 该 程序 的 原始 内 容 是 否 被 窜改 ， 如 此 便 可 确保 所 安装 的 驱动 程序 是 安 
全 的 。 

当 在 安装 驱动 程序 时 ， 若 该 驱动 程序 未 经 过 签名 、 数 字 签 名 无 法 被 验证 是 否 有 效 或 驱动 
程序 内 容 被 窜改 过 ， 系 统 便 会 显示 警告 信息 。 

建议 不 要 安装 未 经 过 签名 或 数字 签名 无 法 被 验证 是 否 有 效 的 驱动 程序 ， 除 非 确认 该 驱动 
程序 确实 是 从 发 行 厂商 处 取得 的 。 


3.6 默认 局 动 系统 的 设置 


若 计算 机 内 只 安装 一 套 Windows Server 2016 操 作 系 统 ， 则 开机 时 它 会 直接 启动 这 套 唯一 
的 操作 系统 。 若 计算 机 内 安装 了 多 套 操作 系统 ， 例 如 同时 安装 了 Windows Server 2012 R2 与 
Windows Server 2016， 则 每 次 计算 机 开机 时 ， 就 会 出 现 类 似 图 3-6-1 的 操作 系统 选择 列表 界 
面 。 
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此 时 请 选择 需要 启动 的 操作 系统 ， 然 后 按 EEE 全 键 。 若 在 30 秒 内 未 做 选择 ， 则 会 自动 启动 
默认 操作 系统 。 如 果 需 要 改变 默认 操作 系统 的 话 : 【打开 服务 器 管理 器 纺 本 地 服务 器 纺 单 击 
计算 机 名 驴 在 系统 属性 界面 单 击 高 级 标签 仿 如 图 3-6-2 所 示 单 击 启动 和 故障 恢复 右 侧 设置 2 通 
过 前 景 图 来 设 定 】。 


汉 默认 操作 系统 : 可 以 在 此 处 更 改 默 认 的 操作 系统 。 

洋 显示 操作 系统 列表 的 时 间 : 可 以 在 此 处 更 改 等 待 用 户 选 择 操作 系统 的 时 间 ( 默认 为 
30 秒 ) 。 如 果 不 义 选 此 选项 ， 则 开机 时 将 不 会 出 现 列表 供用 户 选择 ， 且 会 直接 启动 
默认 操作 系统 。 


系统 失 到 
局 动 fL3Y 随 你 夏 入 
系统 富 动 、 系 统 才 条 和 源 江 信息 AL 

(aan- 
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3.7 环境 变量 的 管理 


环境 变量 (environment vaiiable) 会 影响 计算 机 如 何 来 执行 程序 、 如 何 查找 文件 、 如 何 
分 配 内 存 空 间 等 运行 方式 。 


可 以 通过 【 单 击 左下 角 开 始 图 标 困 3Windows PowerShell 人 执行 dir env: 或 Get-Childitem 
env: 命令 】 来 查看 现 有 的 环境 变量 ， 如 图 3-7-1 所 示 。 图 中 每 一 行 有 一 个 环境 变量 ， 左 边 
Name 为 环境 变量 名 称 ， 右 边 Value 为 环境 变量 值 ， 例 如 通过 环境 变量 COMPUTERNAME 可 以 
得 知 此 计算 机 的 计算 机 名 称 为 SERVER1， 又 例如 通过 环境 变量 USERNAME 可 得 知 当前 登录 
此 计算 机 的 用 户 为 Administrator。 


ER Wi to ta\Roami 
rs ee img 
C:A\ProgTam FilesVCommom te 
C:N\Program Files Sr Files 
C:VProgram Files Fil 


pe sa 
ROWSER 本 Jntermet Explorer 
SFR PROFILE_ST 人 au] 志 


RE ftTator 
Cr:VUsersvhdministratorWpplata\Local 
\SERYERI 


Windows NT 
尼 : es ten32; C:Mindows An :Windows\System32WindowsPo. 
2 2 


外 Family 6 Model 60 Stepping 3，GenuineIntel 


攻 :etsNaninlstrator\DocumentsWiniovsfovershellyioiules; IC:\Program FilesWindowspPo.. 
rs\Public 
Console 


C:Winaows 
C:VUsersWDMINI~I\AppDataYLocalTemp 
由 Da 


SERYER1 
Administrator 
C:MUsers\Administrator 
:Windows 


图 3-7.1 


也 可 以 通过 【 按 氏 + 国 键 2 执行 cmd】 来 打开 命令 提示 符 窗 口 ， 然 后 通过 SET 命令 来 查看 
环境 变量 。 


在 Windows Server 2016 内 的 环境 变量 分 为 以 下 两 类 ; 
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浊 系统 变量 : 它 会 被 应 用 到 所 有 在 此 计算 机 登录 的 用 户 ， 也 就 是 所 有 用 户 的 工作 环境 
内 都 会 有 这 些 变量 。 只 有 具备 系统 管理 员 权 限 的 用 户 ， 才 有 权利 更 改 系统 变量 。 建 
议 不 要 随便 修改 此 处 的 变量 ， 以 免 影响 系统 正常 工作 。 

涪 用 户 变量 : 每 一 个 用 户 可 以 拥有 自己 专属 的 用 户 变量 ， 这 些 变量 只 会 被 应 用 到 该 用 
户 ， 不 会 影响 到 其 他 用 户 。 


如 果 要 更 改 环境 变量 : 【打开 服务 器 管理 器 纺 本 地 服务 器 Q 单 击 计算 机 名 人 在 系统 属性 


界面 单 击 高 级 标签 人 环境 变量 】， 然 后 通过 图 3-7-2 来 修改 ， 图 中 上 、 下 半 部 分 别 是 用 户 与 系 
统 变量 。 


.COML.EXE;.BATCMD:VBS;VBE:jJS:JSEWSFWSHMSC 
AMD64 
Intel64 Family 6 Model 58 Stepping 9 Genuinelntel 


图 3-7-2 


计算 机 在 应 用 环境 变量 时 ， 会 先 应 用 系统 变量 ， 再 应 用 用 户 变量 。 如 果 系 统 变量 与 用 户 
变量 中 都 有 相同 变量 ， 则 以 用 户 变量 优先 。 例 如 ， 若 系统 变量 中 有 一 个 变量 TEST=SYS、 用 
户 变量 区 内 也 有 一 个 变量 TEST=USER， 则 最 后 的 结果 是 TEST=USER。 


变量 PATH 例外 : 用 户 变 量 会 被 附加 在 系统 变量 之 后 。 例 如 ， 系 统 变量 中 的 PATH= 
CNWINDOWS\system32 、 用 户 变 量 中 的 PATH= CTools ， 则 最 后 的 结果 为 


PATH=C:'\NWINDOWSNsystem32; C:Tools ( 系统 在 查找 可 执行 文件 时 ， 根 据 PATH 变 量 
定义 的 路 径 ， 依 路 径 的 先后 顺序 来 查找 文件 ) 。 
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使 用 环境 变量 时 ， 请 在 环境 变量 的 前 后 加 上 % 符 号 ， 例 如 图 3-7-3 中 利用 echo 命 令 来 显示 
当前 的 登录 用 户 ， 其 中 %usernrame% 代 表 当前 登录 用 户 的 用 户 账户 名 称 〈 通 过 【按时 + 国 键 2 
执行 cnd】 来 打开 命令 提示 符 窗口 与 执行 此 命令 ) 。 


:AUsersAAdninistrator>echo Hello 细 Serhante 久 
ello Administrator 


:AUsersadninistrator> 


图 3-7-3 
3.8 计算 机 关闭 方式 与 电源 计划 


计算 机 提供 了 多 种 关闭 方式 ， 对 服务 器 来 说 ， 最 常用 的 是 关机 。 


涪 关机 (shutdown ) : 它 会 关闭 所 有 的 应 用 程序 ， 然 后 停止 系统 运行 与 关闭 电源 。 

匀 休 限 (hibernate ) : 它 会 将 当前 在 内 存 中 (RAM ) 所 有 已 打开 的 文件 与 应 用 程序 都 
存储 到 硬盘 的 休眠 文件 内 ， 然 后 停止 系统 运行 与 关闭 电源 。 当 再 度 使 用 计算 机 时 ， 
只 要 开启 计算 机 电源 ， 系 统 就 会 利用 休眠 文件 来 恢复 休眠 前 所 打开 的 文件 与 应 用 程 
序 ， 也 就 是 直接 将 系统 恢复 到 休眠 之 前 的 状态 。 
休眠 文件 的 文件 名 为 hiberfil,sys， 由 于 需要 将 内 存 中 的 数据 写 到 此 文件 ， 因 此 硬盘 可 
用 空间 需要 大 于 物理 内 存 容 量 ， 此 文件 会 被 建立 在 Windows 系 统 安装 磁盘 的 根 文 件 
夹 内 ， 且 是 受 保护 的 、 隐 藏 的 操作 系统 文件 。 

涪 有 睡眠 (sleep) : 它 会 使 用 非常 微小 的 电量 来 维持 内 存 中 所 有 打开 的 文件 与 应 用 程 
序 ， 然 后 关闭 计算 机 。 要 再 度 使 用 计算 机 时 ， 只 要 按 下 电源 开关 ， 系 统 就 会 在 数秒 
内 快速 恢复 所 有 打开 的 文件 与 应 用 程序 ， 也 就 是 恢复 到 睡眠 之 前 的 状态 。 


虽然 睡眠 后 计算 机 看 似 已 经 关机 ， 但 实际 上 仍然 还 在 使 用 非常 微小 的 电量 来 维持 内 存 中 
的 数据 ， 因 此 请 不 要 切断 电源 ， 也 就 是 不 要 拔 掉 电源 插头 或 不 要 关闭 计算 机 的 电源 开关 
( 若 有 的 话 ) ， 否 则 所 有 存储 在 内 存 中 的 文件 与 程序 都 将 丢失 。 


阅 混合 式 有 睡眠 (hybrid sleep ) : 它 同 时 具备 睡眠 与 休眠 功能 ， 也 就 是 说 它 不 但 会 使 用 
非常 微小 的 电量 来 维持 内 存 中 所 有 打开 的 文件 与 应 用 程序 ， 同 时 也 会 将 它们 存储 到 
硬盘 的 休眠 文件 内 ， 然 后 关闭 计算 机 。 当 要 再 度 使 用 计算 机 时 ， 只 要 按 下 电源 开 
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关 ， 系 统 还 是 会 在 数秒 内 通过 睡眠 机 制 ， 快 速 恢复 到 睡眠 前 的 状态 ， 即 使 在 混合 式 
睡眠 后 因 故 电源 被 切断 而 遗失 内 存 中 的 数据 也 不 必 担 心 ， 因 为 此 时 它 还 可 以 利用 休 
眠 文件 中 的 数据 来 恢复 到 之 前 的 状态 。 


可 以 利用 电源 计划 来 协助 节省 计算 机 的 电力 消耗 或 优化 性 能 ， 或 两 者 之 间 取 得 平衡 。 系 
统 是 如 何 省 电 的 呢 ? 举例 来 说 ， 当 计算 机 闲置 一 段 时 间 后 ， 系 统 便 可 以 将 硬盘 〈 或 其 他 设 
备 ) 关闭 ， 如 此 便 可 以 降低 电力 消耗 ， 然 而 这 也 将 牺牲 掉 一 些 性 能 ， 因 为 当 需 要 继续 使 用 计 
算 机 与 硬盘 时 ， 系 统 必 须 花 费时 间 来 重新 启动 硬盘 。 

Windows Server 2016 提 供 了 以 下 3 个 内 置 的 电源 计划 ， 


尘 平衡 : 在 需要 使 用 计算 机 时 提供 完整 性 能 ， 但 也 可 以 在 计算 机 闲置 时 节省 电力 消 
耗 。 

站 高 性 能 : 它 提供 最 高 的 性 能 与 反应 能 力 ， 但 不 会 提供 节能 功能 。 

涪 节能 : 它 通 过 牺牲 效率 来 节省 电力 消耗 。 


可 以 【 单 击 左下 角 开 始 图 标 困 2 控制 面板 硬 件 3 电 源 选 项 3 在 图 3-8-1 中 来 选择 所 需 计 
划 】， 每 一 个 计划 都 各 有 不 同 的 设置 ， 例 如 节能 计划 会 在 硬盘 闲置 超过 20 分 钟 后 自动 关闭 硬 
盘 ， 而 高 性 能 计划 则 不 会 关闭 硬盘 ， 让 硬盘 随时 处 于 工作 状态 。 


也 可 以 在 图 中 针对 所 选 计划 来 调整 设置 。 例如， 若 要 调整 平衡 计划 中 关闭 显示 器 的 时 
间 ， 也 就 是 设置 系统 空闲 多 长 时 间 后 就 将 显示 器 关闭 ， 请 直接 单 击 图 中 平衡 计划 右 侧 的 更 改 
计划 设置 ， 然 后 通过 图 3-8-2 中 的 关闭 显示 器 来 设置 。 


国 ss 
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当 用 户 按 计算 机 机 箱 上 的 电源 按钮 或 键盘 上 的 Power 键 、Sleep 键 时 《并非 所 有 键盘 都 有 

这 些 键 ) ， 计 算 机 会 关机 、 睡 眠 还 是 休眠 呢 ? 这 些 操作 可 以 通过 电源 计划 来 自 定义 ， 例 如 可 

以 单 击 图 3-8-2 中 平衡 计划 的 更 改 高 级 电源 设置 ， 然 后 通过 图 3-8-3 来 设置 ， 图 中 将 电源 按钮 

(与 键盘 上 的 Power 键 ) 的 操作 设置 为 睡眠 。 若 开启 混合 式 睡 眠 ， 则 图 中 的 睡眠 代表 混合 式 
睡眠 。 


3-8-3 
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fs 为 何 我 的 计算 机 没有 图 3-8-3 中 的 睡眠 、 休 限 选 项 ? 
@ 没有 了 根 选项 可 能 是 计算 机 硬件 不 支持 ， 例如 显示 适配器 未 安装 正确 的 显示 适配器 


驱动 程序 ， 也 可 能 是 计算 机 的 BIOS 设 定 未 启用 与 省 电 有 关 的 功能 。 没 有 休 眼 选项 的 
话 ， 请 执行 powerefg -h on 命令 来 打开 休眠 功能 。 


若 要 测试 休眠 功能 ， 请 先 执行 powercfg -h on 命令 来 打开 休眠 功能， 之 后 系统 便 会 自动 
建立 休眠 文件 hiberfisys， 如 图 3-8-4 所 示 《〈 必 须 先 【打开 文件 资源 管理 器 纪 单 击 上 方 的 查看 
纪 单 击 右 侧 选项 图 标 信 查看 选项 卡 纺 取消 勾 选 隐藏 受 保护 的 操作 系统 文件 ， 选 择 显示 隐藏 的 
文件 、 文 件 夹 和 驱动 器 】， 才 会 在 根 文 件 夹 中 看 到 此 文件 ) 。 

在 完成 图 3-8-3 中 的 电源 按钮 设置 后 ， 就 可 以 开始 来 测试 其 功能 是 否 正常 ， 直接 通过 按 机 
箱 前 面 的 电源 按钮 或 键盘 上 的 Power 键 〈 如 果 有 的 话 ) 来 测试 是 否 会 执行 所 指定 的 睡眠 、 休 
卢 或 关机 操作 。 

也 可 以 通过 【 回 到 桌面 2 按 转 + 辆 键 2 在 希望 计算 机 做 什么 ? 处 选择 睡眠 】 的 方法 来 
测试 睡眠 功能 。 


|g| | 重要 
修改 日 期 大 小 
System Volurne Information 2017711/11 8:52 ”文件 夫 
E 20177119 21:10 ”文件 卖 
201711/9 2101 ”文件 卖 
2016112114 18:.，。 系统 文件 


2016/7/16 21:18 系统 文件 
2017/711A11 20:.。 系统 文件 
201T7ATT1 8.42 系统 文件 


系统 默认 是 停 用 混合 式 睡 眠 的 ， 若 要 启用 的 话 ， 请 如 图 3-8-5 所 示 在 允许 混合 睡眠 处 选择 
启用 。 
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在 启用 混合 睡眠 的 情况 下 ， 若 系统 要 执行 睡眠 操作 〔〈 例 如 用 户 按键 盘 上 的 Sleep 键 》， 则 
系统 会 先 执行 休眠 操作 ， 再 执行 睡眠 。 
图 3-8-5 中 有 另外 两 个 选项 ; 


站 在 此 时 间 后 睡眠 : 用 来 指定 当 系统 闲置 一 段 时 间 后 ， 就 让 系统 自动 执行 睡眠 动作 。 
此 设 定 也 可 以 通过 图 3-8-2 中 的 使 计算 机 进入 睡眠 状态 来 设置 。 

间 在 此 时 间 后 休眠 : 用 来 设置 在 系统 已 经 进入 混合 式 睡 眠 的 情况 下 (睡眠 + 休眠 ) ， 隔 
多 长 时 间 后 ， 就 停止 睡眠 模式 (不 再 使 用 电 来 维持 内 存 内 的 数据 ) ， 仅 保留 休 眼 模 
式 ， 对 笔记 本 电脑 来 说 ， 这 可 以 节省 电池 的 电量 。 


3.9 其 他 的 环境 设置 


系统 管理 员 可 以 通过 自 定 义 的 微软 管理 控制 台 〈Microsoft Management Console，MMC ) 
来 让 每 天 执行 例 行 管理 工作 时 更 能 够 得 心 应 手 。 举 例 来 说 ， 若 要 自 定 义 一 个 同时 包含 计算 机 
管理 与 证 书 的 控制 台 ， 其 步骤 如 下 所 示 : 


STEP 回 。 按 可 + 国 链 2 和 输入 MMC2 单 击 病 恒 按 钮 2 如 图 3-9-1 所 示 选 择 文件 菜单 2 添加 /删除 
管理 单元 
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STEP 回 。 在 图 3-9-2 中 选择 计算 机 管理 2 单 击 油 油 按 钮 2 选择 本 地 计算 机 ( 若 有 权限 ， 也 可 以 
选择 管理 其 他 计算 机 ) 3 单 击 国 国 技 钮 。 


STEP 图 。 回 到 图 3-9-2 的 背景 界面 后 继续 从 列表 中 选择 证 书 2 单 击 泗 普 按 钮 3 假设 选择 计算 机 


账户 2 单 击 庆 位 钮 > 国 轴 拉锯 > 病 吉 扩 钮 。 


STEP 圆 。 回 到 MMC 主 界面 时 ， 请 通过 【 文件 菜单 已 保存 】 将 此 MMC 控 制 台 保存 下 来 ， 默 认 
文件 名 为 控制 全 1.msc。 


当 计算 机 的 物理 内 存 (RAM) 不 够 用 时 ，Windows 系 统 会 通过 将 部 分 硬盘 《磁盘 ) 空间 
虚拟 成 内 存 的 方式 来 提供 更 多 的 内 存 给 应 用 程序 或 服务 。 系 统 是 通过 建立 一 个 名 称 为 
pagefile.sys 的 文件 来 当 作 虚拟 内 存 的 存储 空间 ， 此 文件 又 被 称 为 页 面 文件 。 

因为 虚拟 内 存 是 通过 硬盘 来 提供 的 ， 而 一 般 传统 硬盘 的 访问 速度 比 内 存 慢 很 多 ， 因 此 若 


圈 2 
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经 常 发 生 内 存 不 够 用 的 情况 时 ， 建 议 安装 更 多 的 内 存 ， 以 免 计 算 机 运行 效率 被 硬盘 拖 慢 。 
虚拟 内 存 的 设置 ， 【打开 服务 器 管理 器 2 本 地 服务 器 人 单 击 计算 机 名 纺 在 系统 属性 界面 
单 击 高 级 标签 3 单 击 性 能 处 圈 国 扩 钮 2 高 级 标签 3 单 击 状 辆 护 钮 】， 如 图 3-9-3 所 示 。 


系统 默认 会 自动 管理 所 有 磁盘 的 页 面 文件 ， 并 将 文件 建立 在 Windows 系 统 安 装 磁盘 的 根 
文件 夹 中 。 页 面 文件 大 小 有 初始 大 小 与 最 大 值 ， 初 始 大 小 容量 用 满 后 ， 系 统 会 自动 扩大 ， 但 
不 会 超过 最 大 值 。 也 可 以 自行 设置 页 面 文件 大 小 ， 或 将 页 面 文件 同时 建立 在 多 个 物理 硬盘 
中 ， 以 提高 页 面 文件 的 工作 效率 。 


页 面 文件 pagefile.sys 是 受 保 护 的 操作 系统 文件 ， 必 须 先 【 打开 文件 资源 管理 器 Q 单 击 上 
方 查看 菜单 纺 单 击 右 侧 选项 图 标 令 查看 选项 卡 纺 取消 勾 选 隐藏 受 保护 的 操作 系统 文件 ， 
选择 显示 隐藏 的 文件 、 文 件 夹 和 驱动 器 】， 在 根 文件 夹 才 看 到 此 文件 ( 见 图 3-9-4 ) 。 


201711TW11 852 文件 顽 
2017/11/9 21:10 ”文件 夫 
2017711/9 2101 ”文件 次 
2016/12114 18:-。 系统 文件 
2016/771165 2118 。 季 统 文件 
20417711H11 20。 于 统 文件 
201711TV1T 842 系统 文件 
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大 部 分 的 笔记 本 电脑 除了 本 身 的 液晶 显示 器 外 ， 在 后 面 背 板 上 还 有 一 个 可 以 连接 显示 器 
的 显示 接口 ， 而 很 多 桌面 计算 机 的 显示 适配器 上 有 两 个 显示 接口 ， 例 如 一 个 是 传统 模拟 VGA 
显示 接口 、 一 个 是 数字 DVI 显示 接口 〈 或 HDMI 接 口 ) ， 或 是 两 个 DVI 显示 接口 等 。 这 两 个 接 
口 可 以 分 别 接 上 一 台 显 示 器 。 

这 些 计 算 机 可 以 通过 双 屏 幕 显示 〈Dualview) 功能 来 扩大 工作 桌面 ， 例 如 当 同 时 运行 
Microsoft Office Word 与 Excel 时 ， 可 以 将 这 两 个 程序 的 界面 分 别 完 整地 显示 在 两 台 显 示 器 
上 ， 让 工作 上 更 为 方便 。 

双 屏 幕 显示 的 两 台 显示 器 分 为 主要 显示 器 与 次 要 显示 器 。Windows 系 统 的 登录 界面 会 被 
显示 在 主要 显示 器 上 ， 默 认 连 接 在 第 1 个 显示 端口 上 的 显示 器 是 主要 显示 器 ， 但 可 以 更 改 这 个 
默认 值 。 笔 记 本 电脑 内 建 的 液晶 显示 器 就 是 主要 显示 器 。 

双 屏 幕 显示 的 设置 为 : 【 右 击 桌面 空白 处 纺 显 示 设 置 纺 如 图 3-9-5 所 示 】， 其 中 复制 这 些 
显示 器 表示 两 台 显示 器 的 显示 内 容 都 相同 ， 而 扩展 这 些 显 示 器 表示 将 两 台 显示 器 当 作 一 个 大 
显示 器 来 使 用 ， 它 们 各 自 显示 不 同 的 内 容 。 

若 选择 扩展 这 些 显示 器 ， 如 图 3-9-5 所 示 会 出 现 编号 1 与 2 的 两 个 显示 器 图 形 ， 其 中 1 号 是 
连接 在 主要 显示 接口 上 的 显示 器 ， 而 2 号 是 连接 在 次 要 显示 接口 上 的 显示 器 。 


刚 开 始 时 ， 在 第 2 台 显 示 器 上 除了 桌面 图 形 之 外 ， 应 该 是 一 片 空白 ， 请 试 着 将 鼠标 指针 往 
第 1 台 显 示 器 的 最 右 侧 移动 ， 并 将 其 跨越 显示 器 右边 的 边缘 ， 此 时 将 发 现 鼠 标 指针 会 跑 到 第 2 
台 显 示 器 上 。 你 也 可 以 试 着 分 别 执行 两 个 应 用 程序 ， 然 后 将 其 中 一 个 程序 的 界面 向 右 拖 拉 到 
第 2 个 显示 器 上 。 
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在 单 击 图 3-9-5 中 第 2 台 显 示 器 图 形 后 ， 可 以 如 图 3-9-6 所 示 通 过 色 选 使 之 成 为 我 的 主 显示 
器 来 将 其 改 为 主要 显示 器 ， 之 后 Windows 的 登录 界面 会 被 显示 在 这 人 台 显 示 器 上 。 可 以 利用 鼠 
标 来 移动 图 中 的 1 与 2 号 显示 器 图 形 ， 以 便 设 置 各 显示 器 所 显示 界面 的 相对 位 置 。 

若 已 经 混淆 不 清 、 无 法 识别 目前 所 监 看 的 显示 器 是 代表 哪 一 台 时 ， 请 单 击 图 中 显示 器 编 
号 左下 方 的 标识 ， 之 后 就 可 以 从 图 3-9-7 中 两 个 屏幕 左下 方 的 大 数字 (1 与 2) 来 得 知 。 


起- 1 当 O 闪 


| 党。 有 入 查找 设置 


图 3-96 


这 两 台 显 示 器 可 以 分 别 拥 有 不 同 的 显示 分 辨 率 ， 例 如 第 1 台 为 1920X1080， 而 第 2 人 台 为 
1280X1024。 若 要 更 改 屏 幕 分 辨 率 ， 可 单 击 图 3-9-6 下 方 的 高 级 显示 设置 。 


3 械 任务 管理 器 和 


本 本 和 村 生生 本 广 证 生生 生计 下 村 生生 人 二 和 性 能 、 用 户 与 服务 等 ， 而 打开 
任务 管理 器 的 方法 为 + 辆 |+ 国 | 键 2 任务 管理 器 2 如 图 3-9-8 所 示 ， 可 以 看 到 当前 
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正在 执行 的 应 用 程序 】， 在 单 击 应 用 程序 后 ， 可 以 通过 界面 下 方 的 性 二 入 阐 按 钮 来 强制 结束 
所 选 的 应 用 程序 《例如 已 经 停止 响应 的 应 用 程序 ) ;在 选中 应 用 程序 后 右 击 ， 可 以 有 更 多 的 
选项 ， 例 如 切换 至 该 应 用 程序 。 在 单 击 图 3-9-8 中 的 详细 信息 后 ， 可 看 到 如 图 3-9-9 所 示 的 更 多 
信息 。 


也 可 以 通过 【 右 击 底 端 任务 栏 的 空白 处 纺 任 务 管理 器 】 或 【 单 击 桌面 左下 角 的 开始 图 标 
困 = 任 务 管理 器 】 的 方法 来 启动 任务 管理 器 。 


着 要 查看 该 应 用 程序 的 详细 信息 ， 只 要 选中 该 应 用 程序 右 击 后 选择 转 到 详细 信息 ， 就 可 
以 通过 详细 信息 选项 卡 来 查看 ”如 图 3-9-10 所 示 为 服务 器 管理 器 的 详细 信息 。 从 界面 中 还 可 
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得 知 执行 此 程序 的 用 户 、 CPU 的 使 用 率 、 占 用 多 少 内 存 等 。 


bssgsssssss 


图 3-9-10 


也 可 以 通过 图 下 方 的 责编 入 天 按钮 来 结束 该 程序 的 运行 ， 不 过 图 中 除了 应 用 程序 ， 还 有 
很 多 系统 服务 ， 请 不 要 随意 结束 这 些 服务 ， 以 免 影响 到 系统 正常 运行 。 


对 多 核心 CPU 的 计算 机 来 说 ， 应 用 程序 会 使 用 哪 一 个 核心 是 由 操作 系统 与 应 用 程序 的 设 
计 方 式 来 自动 确定 的 ， 过 也 可 以 自行 指定 要 让 某 个 程序 由 某 个 核心 '( CPU ) 来 负责 执 
行 : 【选中 图 3-9=10 中 的 应 用 程序 右 击 信 设置 相关 性 令 多 选 指定 的 CPU 】 。 


可 以 通过 图 3-9-11 中 的 服务 选项 卡 来 查看 这 些 服务 的 状态 ， 通 过 下 方 的 打开 服务 可 以 进 
一 步 设 置 这 些 服 务 《〈 请 纪 任 意 更 改 服务 的 设置 ， 以 免 影响 系统 运行 ) 。 
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可 以 利用 图 3-9-12 中 的 性 能 选项 卡 来 查看 计算 机 的 CPU、 内 存 与 网 络 的 使 用 情况 。 


CPU intelR) corerrw) i5-3230.. 


% 利用 地 


内 存 
1.314.0 GB (3399) 


以 太 网 
发 送 : 8.0 Kbps 接收 ;: 8.0 Kbps FS 


利用 率 ”速度 最 大 速度 :25 

49%6 ”2.59 GHz 。 和 给 2 
虚 氢 处 理 器 : 2 

进程 。” 线 酝 句柄 志 拟 机 

57 682 25872 U 5， 


图 3-9-12 


单 击 图 3-9-12 下 方 的 打开 资源 监视 器 后 ， 便 可 以 通过 图 3-9-13 来 更 清楚 地 查看 这 人 台 计 算 机 
的 CPU、 内 存 、 磁 盘 与 网 络 等 资源 的 使 用 情况 。 


二 4 二 中 
志 


FE 
[HU 


引 汪 于 于 和 


还 可 以 通过 图 3-9-14 的 用 户 选项 卡 来 查看 在 本 地 计算 机 登录 的 用 户 。 选 中 用 户 后 ， 可 以 
断 开 该 用 户 的 连接 、 注 销 或 发 送 消息 给 该 用 户 ， 图 中 的 两 位 用 户 是 通过 切换 用 户 的 方式 登录 
的 。 
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图 3-9-14 


为 确保 计算 机 的 安全 性 与 拥有 良好 性 能 ， 请 定期 更 新 系统 。 定 期 更 新 的 相关 设置 方法 为 
【 单 击 左下 角 的 开始 图 标 困 2= 单 击 代表 设置 的 齿轮 图 标 人 更 新 和 安全 】。 
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每 一 位 用 户 要 使 用 计算 机 前 都 必须 登录 该 计算 机 ， 而 登录 时 必须 输入 有 效 的 用 户 账户 与 
密码 ; 另外 ， 若 我 们 能 够 有 效 利用 组 来 管理 用 户 权限 ， 则 必定 能 够 减轻 许多 网 络 管理 的 负 
担 。 


沁 
过 
让 
习 


内 置 的 本 地 账户 

本 地 用 户 账 户 的 管理 
密码 的 更 改 、 备 份 与 还 原 
本 地 组 账户 的 管理 
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4.1 内 置 的 本 地 账户 


我 们 在 第 1 章 介 绍 过 ， 每 一 台 Windows 计 算 机 都 有 一 个 本 地 安全 账户 数据 库 〈SAM) ， 用 
户 在 使 用 计算 机 前 都 必须 登录 该 计算 机 ， 也 就 是 要 提供 有 效 的 用 户 账户 与 密码 ， 而 这 个 用 户 
账户 就 是 建立 在 本 机 安全 账户 数据 库 内 ， 这 个 账户 被 称 为 本 地 用 户 账户 ， 而 建立 在 此 数据 库 
内 的 组 被 称 为 本 地 组 账户 。 


Windows Server 2016 内 置 了 两 个 可 供 使 用 的 用 户 账户 : 


外 Administrator (系统 管理 员 ) : 它 拥有 最 高 的 权限 ， 您 可 以 利用 它 来 管理 计算 机 ， 
例如 建立 /更 改 / 删 除 用 户 账户 与 组 账户 、 设 置 安全 策略 、 建 立 打 印 机 、 设 置 用 户 权限 
等 。 无 法 删除 此 账户 ， 不 过 为 了 安全 起 见 ， 建 议 对 其 改名 。 

站 Guest (来 宾 ) : 它 是 供 没有 账户 的 用 户 来 临时 使 用 的 ， 它 只 有 很 少 的 权限 。 可 以 更 
改名 称 ， 但 无 法 将 其 删除 。 此 账户 默认 是 被 停 用 的 。 


系统 内 置 了 许多 本 地 组 ， 它 们 本 身 都 已 经 被 赋予 了 一 定 的 权限 〈fights) ， 以 便 让 它们 具 
备 管理 本 地 计算 机 或 访问 本 机 资源 的 能 力 。 只 要 用 户 账户 被 加 入 到 本 地 组 中 ， 此 用 户 就 会 具 
备 该 组 所 拥有 的 权限 。 下 面 列 出 一 些 常 用 的 本 地 组 : 


阅 Administrators: 此 组 内 的 用 户 具备 系统 管理 员 的 权限 ， 他 们 拥有 对 这 台 计 算 机 最 大 
的 控制 权 ， 可 以 执行 整 台 计 算 机 的 管理 工作 。 内 置 的 系统 管理 员 Administrator 就 是 隶 
属于 此 组 ， 而 且 无 法 将 它 从 此 组 内 删除 。 

匀 Backup Operators: 此 组 内 的 用 户 可 以 通过 Windows Server Backup 工 具 来 备份 与 还 
原 计 算 机 内 的 文件 ， 不 论 他 们 是 否 有 权限 访问 这 些 文 件 。 

站 Guests: 此 组 内 的 用 户 无 法 永久 改变 桌面 的 工作 环境 ， 当 他 们 登录 时 ， 系 统 会 为 他 
们 建立 一 个 临时 的 用 户 配置 文件 (参见 第 10 章 的 说 明 ) ， 而 注销 时 此 配置 文件 就 会 
被 删除 。 此 组 默认 成 员 为 用 户 账户 Guest。 

外 Network Configuration Operators: 此 组 内 的 用 户 可 以 执行 常规 的 网 络 配置 工作 ， 例 
如 更 改 卫 地址， 但 是 不 可 安装 、 删 除 驱 动 程 序 与 服务 ;也 不 能 执行 与 网 络 服务 器 配 
置 有 关 的 工作 ， 例 如 DNS 服务 器 与 DHCP 服 务 器 的 设置 。 

阅 Performance Momnitor Users: 此 组 内 的 用 户 可 监视 本 地 计算 机 的 运行 性 能 。 

站 Power Users: 为 了 简化 组 ， 这 个 在 旧版 Windows 系 统 就 已 经 存在 的 组 就 要 被 淘汰 
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了 ，Windows Server 2008 ( 含 ) 之 后 的 系统 虽然 还 留 着 这 个 组 ( 以便 维 持 与 旧版 
Windows 系 统 的 兼容 性 ) ， 不 过 并 没有 像 旧版 系统 一 样 被 赋予 较 多 的 特殊 权限 ， 也 
就 是 它 的 权限 并 没有 比 普通 用 户 多 。 

外 Remote Desktop Users: 此 组 内 的 用 户 可 以 从 远程 计算 机 利用 远程 桌面 服务 登录 。 

当 Users: 此 组 内 的 用 户 只 拥有 一 些 基 本 权限 ， 例 如 运行 应 用 程序 、 使 用 本 地 与 网 络 打 
印 机 、 人 锁定 计算 机 等 ， 但 是 他 们 不 能 将 文件 天 共享 给 网 络 上 其 他 的 用 户 、 不 能 将 计 
算 机 关机 等 。 所 有 新 建 的 本 地 用 户 账户 都 会 自动 隶属 于 此 组 。 


除了 前 面 所 介绍 的 组 之 外 ，Windows Server 2016 内 还 有 一 些 特殊 组 ， 而 且 无 法 更 改 这 些 
组 的 成 员 。 下 面 列 出 几 个 常见 的 特殊 组 : 


站 Everyone: 所 有 用 户 都 属于 这 个 组 。 若 Guest 账 户 被 启用 的 话 ， 则 在 分 配 权 限 给 
Eyeryone 时 要 小 心 ， 因 为 如 果 一 位 在 计算 机 内 没有 账户 的 用 户 通过 网 络 登 录 计 算 机 
时 ， 他 会 被 自动 允许 利用 Guest 账 户 来 连接 ， 此 时 因为 Guest 也 是 隶属 于 Everyone 组 ， 
所 以 他 将 具备 Everyone 所 拥有 的 权限 。 

阅 Authenticated Users: 凡是 利用 有 效用 户 账 户 来 登录 此 计算 机 的 用 户 ， 都 隶属 于 此 
组 。 

阅 Interactive: 凡是 在 本 地 登录 (通过 按 Ctrl + Alt + Del 方 式 登录 ) 的 用 户 ， 都 隶属 于 
此 组 。 

当 Network: 凡是 通过 网 络 来 登录 此 计算 机 的 用 户 ， 都 隶属 于 此 组 。 

习 Anonymous Logon: 凡是 未 利用 有 效 的 普通 用 户 账户 登录 的 用 户 〈 匿 名 用 户 ) ， 都 
隶属 于 此 组 。Anonymous Logon 默 认 并 不 隶属 于 Everyone 组 。 

匀 Dialup: 凡是 利用 拨号 方式 连接 的 用 户 ， 都 隶属 于 此 组 。 


4.2 本 地 用 户 账户 的 管理 


系统 默认 只 有 Administrators 组 内 的 用 户 才 有 权限 来 管理 用 户 账 户 与 组 账户 ， 所 以 此 时 请 
利用 隶属 于 该 组 的 Administrator 登 录 系 统 来 执行 以 下 操作 。 


我 们 可 以 利用 本 地 用 户 和 组 来 建立 本 地 用 户 账户 : 【 单 击 左下 角 的 开始 图 标 仿 Windows 
系统 管理 工具 纺 计 算 机 管理 人 系统 工 具 人 本 地 用 户 和 组 纺 如 图 4-2-1 中 背景 图 所 示 ， 选 中 用 户 
后 右 击 2 新 用 户 3 在 前 景 图 中 输入 用 户 的 相关 数据 3 单 击 杜 按钮 】. 
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也 可 以 通过 【 开始 纪 控 制 面板 统 用 户 账户 】 来 管理 用 户 账户 。 


用 户 名 : 它 是 用 户 登 录 时 需要 输入 的 账户 名 称 。 

全 名 、 描 述 : 用 户 的 完整 名 称 ， 用 来 描述 此 用 户 账 户 的 说 明文 字 。 

密码 、 确 认 密 码 : 设置 用 户 账 户 的 密码 。 所 输入 的 密码 会 以 黑 点 来 显示 ， 以 免 被 其 
他 人 看 到 ， 必 须 再 一 次 输入 密码 来 确认 所 输入 的 密码 是 正确 的 。 


必 区 区 


.密码 中 英文 字母 大 小 写 被 视 为 不 同 的 字符 ， 例 如 abc12# 与 ABC12# 是 不 同 密码 ， 还 有 
如 果 密 码 为 空白 ， 则 系统 默认 是 此 用 户 账 户 只 能 够 本 地 登录 ， 无 法 通过 网 络 登录 ( 无 
法 从 其 他 计算 机 利用 此 账户 来 连接 ) 。 

.如 果 设 置 密码 ， 则 默认 要 求 用 户 的 密码 必须 至 少 6 个 字符 ， 且 不 可 包含 用 户 账 户 名称 
或 全 名 ， 还 有 至 少 要 包含 A - Z、a - z、0 - 9、 非 字母 字符 ( 例如 !、$、 厅 % ) 等 4 组 
字符 中 的 3 组 ， 例 如 12abAB 是 一 个 有 效 的 密码 ， 而 123456 是 无 效 的 密码 。 


站 用 户 下 次 登录 时 须 更 改 密码 ; 用 户 在 下 次 登录 时 ， 系 统 会 强制 用 户 更 改 密码 ， 这 个 
操作 可 以 确保 只 有 该 用 户 知道 自己 所 设置 的 密码 。 


若 该 用 户 是 通过 网 络 来 登录 的 话 ， 请 勿 勾 选 此 选项 ， 和 否则 用 户 将 无 法 登录 ,因为 用 户 通 
过 网 络 登 录 时 无 法 更 改 密码 。 


尘 用 户 不 能 更 改 密码 : 它 可 防止 用 户 更 改 密码 。 如 果 没 有 为 选 此 选项 的 话 ， 用 户 可 以 
在 登录 完成 后 ， 通 过 【 按 Ctrl + Alt+ Del 仿 更 改 密码 〗】 的 方法 来 更 改 自己 的 密码 。 
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浊 密码 永 不 过 期 : 系统 默认 是 42 天 后 会 要 求 用 户 修改 密码 ， 但 若 义 选 此 选项 的 话 ， 则 
系统 永远 不 会 要 求 该 用 户 更 改 密码 (42 天 是 系统 默认 值 ， 可 以 通过 账户 策略 来 更 
改 ， 见 第 11 章 ) 。 

浊 账户 已 禁用 : 它 可 防止 用 户 利 用 此 账户 登录 ， 例 如 预先 为 新 员工 所 建立 的 账户 ， 但 
该 员工 尚未 报到 ， 或 菜 位 请 长 假 的 员工 账户 ， 都 可 以 利用 “账户 已 禁用 ”暂时 将 该 
账户 停 用 。 被 停 用 的 账户 前 面 会 有 一 个 向 下 的 箭头 上 符号 。 

用 户 账户 建立 好 后 ， 请 注销 ， 然 后 在 图 4-2-2 中 单 击 此 新 账户 ， 以 便 练习 利用 此 账户 来 登 

录 。 完 成 练习 后 ， 再 注销 ， 改 用 Administrator 登 录 。 


只 


Administratoli 
[人 


图 42-2 


4.2.2 修改 本 地 用 户 账户 2 


如 图 4-2-3 所 示 ， 选 中 用 户 账户 ， 右 击 ， 然 后 通过 界面 中 的 选项 来 设置 : 


池 设置 密码 : 用 来 更 改 用 户 的 密码 (请 参阅 下 一 节 的 说 明 ) 。 

漳 删除 、 重 命名 : 您 可 以 删除 不 需要 的 账户 ， 也 可 以 更 改 用 户 的 账户 名 称 ， 不 过 请 注 
意 以 下 说 明 。 
系统 会 为 每 一 个 用 户 账户 建立 一 个 唯一 的 安全 标识 符 〈security identifier，SID， 它 是 
一 串 字 母 数 字 的 组 合 ) ， 在 系统 内 部 是 利用 SID 来 代表 该 用 户 的 ， 例 如 文件 权限 列表 
中 是 通过 SID 来 记录 该 用 户 具备 何 种 权限 的 ， 而 不 是 通过 用 户 账 户 名 称 来 记录 的 ， 不 
过 为 了 便于 查看 这 些 列 表 ， 当 通过 文件 资源 管理 器 来 查看 这 些 列表 时 ， 系 统 所 显示 
的 是 用 户 账 户 名 称 。 
当 将 账户 删除 后 ， 即 使 再 新 建 一 个 名 称 相同 的 账户 ， 此 时 因为 系统 会 为 这 个 新 账户 
分 配 一 个 新 SID， 它 与 原 账 户 的 SID 不 同 ， 所 以 这 个 新 账户 不 会 拥有 原 账 户 的 权限 。 
若是 重 命名 账户 的 话 ， 由 于 SID 不 会 改变 ， 因 此 用 户 原 来 所 拥有 的 权限 与 权利 都 不 会 
受到 影响 。 例 如 ， 当 某 员 工 离职 时 ， 您 可 以 暂时 先 将 其 用 户 账 户 停 用 ， 等 到 新 员工 接 
替 他 的 工作 时 ， 再 将 此 账户 改 为 新 员工 的 名 称 并 重新 设置 密码 与 相关 的 个 人 资料 。 
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图 42-3 


若 要 修改 用 户 账户 的 其 他 相关 数据 ，【 选 中 用 户 账户 后 右 击 纺 属性 】。 


MA 
2 3 | | 
相 拔 
= 二 中 JJ) 本 si 


也 可 以 通过 【开始 令 控制 面板 信用 户 账 户 3 用 户 账 户 2 管 理 其 他 账户 “如 图 4-2-4 所 
示 ) 】 的 方法 来 管理 用 户 账户 ， 它 与 前 面 所 使 用 的 本 地 用 户 和 组 各 有 特色 。 


图 42-4 


4.3 密码 的 更 改 、 备 份 与 还 原 


本 地 用 户 要 更 改 密码 的 话 ， 可 以 在 登录 完成 后 按 Ctrl + Alt + Del 键 ， 然 后 在 图 4-3-1 中 
单 击 更 改 密码 。 


7 国 
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图 43-1 


用 户 在 登录 时 二 记 密码 而 无 法 登录 时 该 怎么 办 呢 ? 他 应 该 事先 就 制作 密码 重 设 磁盘 ， 此 
磁盘 在 密码 志 记 时 可 以 派 上 用 场 。 


4.3.1 创建 密码 重 置 盘 


可 以 使 用 可 移动 磁盘 《〈 以 下 以 U 盘 为 例 ) 来 制作 密码 重 置 盘 。 


STEP 回 ”在 计算 机 上 插入 已 经 格式 化 的 U 盘 ， 若 尚未 格式 化 的 话 ， 先 【打开 文件 资源 管理 器 
2 选中 U 盘 ,， 右 击 人 3 格式 化 】。 

STEP 回 ”登录 完成 后 ，【 单 击 左下 角 的 开始 图 标 纺 控制 面板 纺 用 户 账 户 纺 用 户 账户 3 单 击 左 
侧 创建 密码 重 置 盘 ( 见 图 4-3-2 ) 】。 


忠 用 六 帐户 
< ~ 个 妃 < 用 产 帐户 》 用 户 帐 户 v | 驯 。 | 搜索 控制 画板 忆 


和 更 改 帐 户 信息 


Administrator 
本 地 帐户 


罗 竺 到 其 他 帐户 Administrator 


更 改 用 户 帐户 控制 设置 


图 43-2 


STEP 图 “从 图 4-3-3 中 的 说 明 可 知 密码 重 置 磁 盘 制 作 完成 之 后 ， 无 论 更 改过 多 少 次 密码 ， 都 不 
需要 再 重新 制作 密码 重 置 磁盘 ， 单 击 王 盖 步 


转 * 
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欢迎 使 用 忘记 密码 向 叶 


此 向 导 帮 助 你 创建 一 个 客 三重 伟 " 磁 表 。 如 果 你 忘记 了 用 户 帐 
户 的 密码 , 无 法 登录 , 你 可 以 用 此 盘 创建 一 个 新 密码 。 


注意 : 无 治 你 更 改 密码 多 少 次 ， 你 只 需要 创建 此 盘 一 次 。 


警告 : 任何 人 都 可 以 用 此 盘 重 和 密码 ， 并 由 此 沪 问 此 帐户 。 


者 要 在 U 盘 上 存储 密码 恢 复 信息 ,请 插入 避 盘 ,然后 单 去 "下 
一 步 " 


单 击 -下 一 步 -多 纺 。 


请 保管 好 密码 重 置 磁盘 ， 因 为 任何 人 得 到 它 ， 就 可 以 重 设 您 的 密码 ， 进 而 访问 您 的 个 人 
数据 。 


STEP 回 ”在 图 4-3-4 中 选择 利用 可 移动 磁盘 (U 盘 ) 。 


图 43-4 


STEP 回 。 在 图 4-3-5 中 输入 当前 用 户 账户 的 密码 ， 单 击 国 用 撤 钮 ， 完 成 后 续 的 步 又。 


若 您 之 前 已 经 制作 过 密码 重 置 磁盘 ， 系 统 会 警告 之 前 密码 重 置 磁 盘 将 无 法 再 使 用 。 若 所 
放 入 的 磁盘 已 经 是 密码 重 置 磁盘 ， 系 统 会 警告 该 磁盘 内 现 有 的 密码 信息 将 被 覆盖 。 
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eeeseeeal 和 


[二 [Eaaa] 站 本 人 


图 43-5 


4.3.2 重 置 密码 


如 果 用 户 在 登录 时 蕊 记 密 码 ， 此 时 就 可 以 利用 前 面 所 制作 的 密码 重 置 


个 新 密码 ， 其 步骤 如 下 所 示 : 
STEP 贺 在 登录 、 输 入 错误 的 密码 后 ， 单 击 图 4-3-6 中 的 重 置 密码 。 


只 


Administrator 


重 痪 地 


图 4346 


STEP 回 。 出 现 欢迎 使 用 密码 重 置 向 导 界 面 时 单 击 哺 呈 员 按 钮 。 
STEP 图 ”在 图 4-3-7 中 选择 所 插入 的 U 人 盘 后 单 击 睛 光 


磁盘 来 重新 设置 一 
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43.7 


STEp 四 在 图 4.3.8 中 输入 新 密码 、 确 认 密 码 与 密码 提示 ， 单 击 傅 时 训 六 包 。 


图 43-8 


STEP 回 ”继续 完成 之 后 的 步骤 并 利用 新 密码 登录 。 


-Ai 


若 用 户 忘记 了 密码 ， 也 未 事先 制作 密码 重 置 磁盘 ， 此 时 则 需 请 系统 管理 员 为 用 户 重 置 新 
的 密码 〈 无 法 查 出 旧 密 码 ) : 【 单 击 左下 角 开始 图 标明 Windows 管理 工具 人 计算 机 管理 2 系 
统 工具 2 本 地 用 户 和 组 人 3 用户 忆 选 中 用 户 账 户 后 右 击 设 置 密码 〗】， 之 后 会 出 现 如 图 4-3-9 所 
示 的 警告 信息 ， 提 示 应 该 在 用 户 未 制作 密码 重 置 磁盘 的 情况 下 才 使 用 这 种 方法 ， 因 为 有 些 受 
保护 的 数据 在 通过 此 种 方法 将 用 户 的 密码 更 改 后 就 无 法 再 被 用 户 访问 了 ， 例 如 被 用 户 加 密 的 
文件 、 利 用 用 户 的 公 钥 加 密 过 的 电子 邮件 、 用 户 存储 在 本 地 计算 机 内 用 来 连接 Interet 的 密码 
等 。 


7z9 转 
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若 系统 管理 员 Administrator 忘 记 密码 ， 也 未 制作 密码 重 置 磁 盘 的 话 ， 该 怎么 办 ? 此 时 请 
利用 另外 一 个 具备 系统 管理 员 权限 的 用 户 账户 ( 隶属 于 Administrators 组 ) 来 登录 与 更 改 
Administrator 的 密码 ， 但 是 请 记得 事先 建立 这 个 具备 系统 管理 员 权 限 的 用 户 账 户 ， 以 备 
不 时 之 需 。 


人 


4.4 本 地 组 账户 的 管理 


作为 系统 管理 员 ， 若 能 够 善于 利用 组 来 管理 用 户 账 户 的 权限 ， 则 必定 能 够 减轻 许多 管理 
负担 。 举 例 来 说 ， 当 针对 业务 部 设置 权限 后 ， 业 务 部 内 的 所 有 用 户 都 会 自动 拥有 此 权限 ， 不 
需要 为 每 个 用 户 单独 设置 权限 。 建 立 本 地 组 账户 的 方法 为 : 【 单 击 左 下 角 开 始 图 标 
图 > windows 管理 工具 人 计算机 管理 人 如 图 4-4-1 所 示 选 中 组 右 击 人 新 建 组 】。 
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接着 在 图 4-4-2 的 界面 中 : 【输入 该 组 的 名 称 〈 例 如 业务 部 ) 2 单 击 鄙 呈 扩 旨 玉 将 用 户 加 
入 到 此 组 3 单 击 杜 王 护 钮 】。 


二 


二 


| 
各 


天 二 近 生 是 


图 442 


以 后 若 要 再 将 其 他 用 户 账户 加 入 到 此 组 的 话 ，【 双 击 该 组 3 单 击 喷 测控 钮 】， 或 是 【 双 
击 用 户 账户 2 隶属 于 3 单 击 咽 员 近 钮 】. 
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阅读 本 书 的 过 程 中 ， 最 好 有 一 个 包含 多 台 计 算 机 的 网 络 环境 来 练习 与 验证 书 中 所 介绍 的 
内 容 ， 然 而 一 般 读者 要 同时 准备 多 台 计 算 机 可 能 有 困难 ， 还 好 现在 可 以 使 用 虚拟 化 软件 〈 例 
如 Windows Server 2016 内 置 的 Hyper-V) 来 轻易 地 拥有 这 样 的 测试 环境 。 另 外 ， 本 章 也 会 介 
绍 如 何在 微软 的 云端 Microsoft Azure 建 立 虚 拟 机 。 
Hyper-V 的 硬件 需求 
安装 Hyper-V 
建立 虚拟 交换 机 与 虚拟 机 
建立 更 多 的 虚拟 机 
通过 Hyper-V 主 机 连接 Internet 
在 Microsoft Azure 云 建立 虚拟 机 


区 区 区 区 攻 长 
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5.1 Hyper-V 的 硬件 需求 


如 果 要 使 用 Hyper-V 虚 拟 技术 来 搭建 测试 环境 ， 请 准备 一 台 CPU“〈 中 央 处 理 器 ) 速度 够 
快 、 内 存 够 多 、 硬 盘 容 量 够 大 的 物理 计算 机 ， 在 此 计算 机 上 利用 内 置 的 HyperV 来 创建 多 台 
虚拟 机 与 虚拟 交换 机 《旧版 本 将 其 称 为 “虚拟 网 络 ”) ， 然 后 在 虚拟 机 中 安装 所 需 的 操作 系 
统 ， 例 如 Windows Server 2016、Windows 10 等 。 
以 Windows Server 2016 来 说 ， 这 人 台 物 理 计算 机 除了 CPU 必须 是 64 位 之 外 ，Hyper-V 还 有 以 
下 的 主要 需求 : 
涪 支持 第 二 层 地 址 转换 ( Second Level Address Translation，SLAT ) 。 
站 支持 VM 监 视 器 模式 扩展 (VM Monitor Mode extensions ) 。 
妆 在 BIOS 或 UEFI 内 需 局 用 硬件 辅助 虚拟 化 技术 (hardware-assisted virtualization ) ， 也 就 
是 开局 Intel VT (Intel Virtualization Technology ) 或 AMD-V (AMD Virtualization ) 。 
妆 在 BIOS 或 UEFI 内 需 启 用 硬件 数据 执行 防止 (hardware data execution protection ， 
DEP ) ， 也 就 是 开局 Intel XD bit ( execute disable bit ) 或 AMD NXPbit (no executebit ) 。 
可 以 在 打开 命令 提示 符 窗口 后 ， 利 用 Systeminfo.exe 程 序 来 查看 计算 机 是 否 符合 Hyper-V 
的 要 求 ， 如 图 $-1-1 所 示 。 


DHCE 服务 器 : 192. 168. 225. 254 
车 


[01] : 192. 168. 225.1 
[02] : fe80::a472:459c:a508:2115 
[06] : Soni cWALL NetExtender Adapter 
连接 名 : 连接 


局 用 DHCP; 否 


虚拟 机 监视 器 模式 扩展 : 是 - 
和， 是 


转换 : 是 
数据 执行 保护 可 用 : 是 


图 5-1-1 


1，Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2 或 64 位 版 本 
的 Windows Server 2008 也 支持 Hyper-V。 


2，、Windows 10 ( Home 版 本 不 支持 ) 、Windows 8.1 ( 8 ) Enterprise/Pro 等 64 位 操作 系统 


也 支持 Hyper-V， 其 启用 方法 为 【 控制 面板 信 程 序 和 功能 纺 启 用 或 关闭 Windows 功 


能 】。 
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5.2 安装 Hyper-V 


请 先 在 物理 计算 机 上 安装 支持 HyperV 的 操作 系统 ， 本 书 采 用 Windows Server 2016 


Datacenter。 


安装 完 操作 系统 后 ， 接 着 通过 添加 角色 和 功能 的 方式 来 安装 Hyper-V。 我 们 将 这 人 台 安 装 
HyperV 的 物理 计算 机 称 为 主机 〈host) ， 其 操作 系统 被 称 为 主机 操作 系统 ， 而 虚拟 机 内 所 安 
装 的 操作 系统 被 称 为 来 宾 操 作 系 统 。 


STEP 回 。 单 击 堪 下角 的 开始 图 标 3 服 务 器 管理 器 3 单 击 仪表 板 处 的 添加 角色 和 功能 2 持续 音 
击 j 生 和 轴 按 钮 到 出 现 图 5-2-1 选 择 服务 器 角色 界面 时 勾 选 Hyper-V2 单 击 肖 潭 动 秽 过 


5-2-1 


STEP 回 。 持续 单 击 庆 有 用 塘 钮 到 出 现 图 5-2-2 的 界面 时 单 击 状 国 汪 按钮。 界面 中 的 设置 会 等 
到 后 面 介绍 HyperV 虚 拟 交 换 机 类 型 时 再 来 配置 与 说 明 。 
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STEP 回 ”持续 单 击 证 汪 旨 按钮 一 直到 出 现 图 5-2-3 默 认 存储 的 界面 时 单 击 靖国 于 扩 钮 即 可 ， 
此 界面 是 用 来 设置 虚拟 硬盘 文件 与 虚拟 机 配置 文件 的 存储 位 置 的 。 


2-3 


STEP 回 。 出 现 确认 安装 所 选 内 容 界面 时 单 击 甘 漳 按 钮 ， 完 成 安装 后 单 击 庙 潮 按 钮 。 
STEP 回 。 重新 启动 计算 机 、 登 录 。 


Hyper-V 可 以 建立 以 下 三 种 类 型 的 虚拟 交换 机 《参见 图 5$-2-4 中 的 示例 ) : 


站 “外 部 ” 鹿 拟 交换 机 : 此 虚拟 交换 机 所 在 的 网 络 就 是 主机 物理 网 卡 所 连接 的 网 络 ， 
因此 若 将 虚拟 机 的 虚拟 网 卡 连接 到 这 个 外 部 鹿 拟 交换 机 ， 则 它们 可 以 通过 此 交换 机 
来 与 主机 通信 ， 也 可 以 与 连接 在 这 个 交换 机 上 的 其 他 计算 机 通信 ， 甚 至 可 以 连接 
Internet。 如 果 主 机 有 多 块 物 理 网 卡 ， 则 可 以 针对 每 一 块 网 卡 各 创建 一 个 外 部 讶 拟 交 
换 机 。 

溯 “内 部 ”上 庵 拟 交 换 机 : 连接 在 这 个 内 部 虚拟 交换 机 上 的 计算 机 之 间 可 以 相互 通信 ， 
也 可 以 与 主机 通信 ;得 是 无 法 与 其 他 网 络 内 的 计算 机 通信 ， 同 时 它们 也 无 法 连接 
Internet， 除 非 在 主机 启用 NAT 或 路 由 器 功能 ， 例 如 启用 Internet 连 接 共 享 (ICS ) 。 
可 以 建立 多 个 内 部 鹿 拟 交换 机 。 

习 “专用 ”上 鹿 拟 交换 机 : 连接 在 这 个 专用 虚拟 交换 机 上 的 计算 机 之 间 可 以 相互 通信 ， 
但 是 并 不 能 与 主机 通信 ， 沁 无 法 与 其 他 网 络 内 的 计算 机 通信 ( 图 5$-2-4 中 的 主机 并 没 
有 网 卡 连接 在 这 个 虚拟 交换 机 上 ) 。 可 以 建立 多 个 专用 虚拟 交换 机 。 
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连接 至 “内 部 ”的 虚拟 机 


internet 
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5.3 建立 虚拟 交换 机 与 虚拟 机 


下 面 我 们 先 建 立 一 个 外 部 类 型 的 虚拟 交换 机 ， 然 后 将 虚拟 机 的 虚拟 网 卡 连接 到 此 虚拟 交 
换 机 。 
STEP 单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 QHyper-V 管 理 器 。 
STEP 圆 如 图 5$-3-1 所 示 单 击 主 机 名 右 侧 的 虚拟 交换 机 管理 器 ...。 


5-3-1 


STEP 回 。 如 图 5-3-2 所 示 选 择 外 部 后 单 击 村 汪 汪 抽 当 桥 重信 钮 。 


第 5 章 虚拟 环境 的 搭建 “| 轩 电 


主 司 网 结 训 证 
看 MAcC 地 相 


地 址 范围 
00-15-5D-01-0D-00 到 00-15-5D0.， 


必 人 l 建 虚拟 交换 机 (S) 
| 8 再 一 个 绑 定 到 柳 理 网 络 适配器 的 虚拟 交换 机 ， 以 便 虚拟 机 可 以 访问 牧 理 网 络 。 
图 $3-2 
STEP 回 ”在 图 5-3-3 中 为 此 虚拟 交换 机 命名 ( 例如 对 外 连接 的 虚拟 交换 机 ) 、 在 外 部 网 络 处 选 


择 一 块 物理 网 卡 ， 以 便 将 此 虚拟 交换 机 连接 到 网 卡 所 在 的 网 络 。 完 成 后 单 击 病 漳 
按钮 ， 出 现 界面 提示 网 络 会 哲 时 中 断 连 接 时 单 击 苇 国 量 虽 坟 钮 。 


MAKC 地 址 范围 
00-85.50D0140D 00 到 00-15-500.， 


中 AR 
图 5-3-3 
STEP 回 ”Hyper-V 会 在 主机 内 建立 一 个 连接 到 此 虚拟 交换 机 的 网 络 连接 ， 可 以 通过 【 按 于 键 
切换 到 开始 菜单 纺 控 制 面 板 令 网 络 和 Internet 令 网 络 和 共享 中 心 仿 更改 适配器 设置 】 
的 方法 来 查看 ， 如 图 $-3-4 中 的 连接 “vEthernet ( 对 外 连接 的 虚拟 交换 机 ) ”。 


vEthernet (对 外 连接 的 虚拟 交换 机 Na 
未 iR 别 的 网 洛 
< nailR 82579LM Gigabk Ne SC Hypery VitualEhemethdsA 加 


5-34 


若 要 利用 这 人 台 主 机 来 连接 Intermnet， 或 让 这 台 主 机 与 连接 在 此 虚拟 交换 机 的 其 他 计算 机 通 
信 的 话 ， 请 设置 此 vEthernet 连 接 的 TCP/ 卫 属性， 而 不 是 更 改 物 理 网 卡 的 链接 〈 图 中 以 太 网 


s7 图 
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络 ) 的 TCP/ 了 属性 ， 因 为 此 连接 已 经 被 设置 为 虚拟 交换 机 〔〈 可 以 通过 【双击 以 太 网 人 属性 仿 
如 图 $-3-5 所 示 来 查看 】) 。 


Hyper-V 的 虚拟 机 内 支持 以 下 的 Windows 来 宾 操 作 系统 : 


Windows Server 2016、Windows 10 

Windows Server 2012 R2、Windows 8.1 
Windows Server 2012、Windows 8 

Windows Server 2008 R2 SP1、Windows 7 SP1 
Windows Server 2008 SP2、Windows Vista SP2 


此 处 将 利用 Hyper-V 来 建立 一 个 包含 Windows Server 2016 Datacenter 的 虚拟 机 。 建 立 顺序 
是 先 建 立 一 个 虚拟 机 ， 然 后 在 此 虚拟 机 内 安装 Windows Server 2016 Datacenter 操 作 系 统 。 下 面 
使 用 Windows Server 2016 ISO 文件 来 安装 。 


STEP 贺 如 图 5-3-6 所 示 ，【 选 中 主机 名 右 击 人 新 建 人 虚拟 机 】( 也 可 以 【 单 击 右 方 操作 窗口 
的 新 建 2 虚拟 机 】) 。 


区 区 区 区 区 
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加 。 出 现 开始 之 前 界面 时 单 击 庙 国 加 坟 钮 。 
在 图 5-3-7 中 为 此 虚拟 机 设置 一 个 好 记 的 名 称 ( 例如 Win2016Base ) 后 单 击 国 国 四 


按钮 ( 该 虚拟 机 的 配置 文件 默认 会 被 存储 到 C:\ProgramData\ Microsoft\Windows' 
Hyper-v 文 件 夹 ， 可 通过 下 方 选 项 来 更 改 文件 夹 ) 。 


图 5-3-7 
STEP 加 ”在 图 5-3-8 中 可 选择 与 日 版 Hyper-V 兼 容 的 第 一 代 ， 或 拥有 新 功能 的 第 二 代 ( 但 来 宾 
操作 系统 必须 是 Windows Server 2012 或 64 位 的 Windows 8 及 以 上 版 本 的 操作 系 


统 ) 后 单 击 岗 国有 技 钮 ( 此 处 选择 第 二 代 ) 。 


FT 
STEP 回 。 在 图 5-3-9 中 定义 要 分 配给 此 虚拟 机 的 内 存 容量 后 单 击 肯 时 呈 扶 锯 。 


图 33-9 
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STEP 回 。 在 图 5-3-10 中 将 虚拟 网 卡 连接 到 适当 的 虚拟 交换 机 后 单 击 上 国 四 按钮 。 图 中 将 其 连 
接 到 之 前 所 建立 的 第 1 个 虚拟 交换 机 对 外 连接 的 虚拟 交换 机 。 


STEP 园 。 在 图 5-3-11 中 单 击 请 入 按 钮 ， 采 用 默认 值 即 可 。 此 界面 用 来 设置 分 配给 虚拟 机 的 
虚拟 硬盘 ， 包 含 文件 名 ( 扩展 名 为 .vhdx ) 、 存 储 位 置 与 容量 大 小 ， 这 里 使 用 默认 
值 ， 其 容量 为 不 固定 大 小 的 动态 设置 ， 最 大 可 自动 扩充 到 127GB。 由 图 5-3-11 还 可 
得 知 虚拟 硬盘 文件 的 默认 存储 位 置 是 C:V\Users\Public\Documents\Hyper-V\Virtual 
Hard Diskso 


图 53-11 


STEP 回 。 在 图 5-3-12 中 选择 Windows Server 2016 ISO 文件 来 安装 后 单 击 轴 时 国 坟 钮 。 
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STEP 回 。 确认 正在 完成 新 建 虚拟 机 向 导 界 面 中 的 选择 正确 后 单 击 凡 


STEP 四 在 图 5$-3-13 中 的 Win2016Base 就 是 我 们 所 建立 的 虚拟 机 ， 请 双击 此 虚拟 机 
Win2016Baseo 


首 a Hyper-V 管理 器 
文件 (中 吏 作 (A) ”查看 (V) 帮助 (H) 
| 和 中 | 由 而 [日 慎 


- 


ie 本 


图 53-13 


STEP 上 加 单 击 图 5-3-14 左 上 方 的 启动 图 标 后 就 会 启动 此 虚拟 机 。 


若 要 利用 DVD 来 安装 的 话 ， 请 先 将 DVD 放 进 光驱 ， 然 后 【选择 图 5-3-14 上 方 媒体 菜单 
2DVD 驱 动 器 3 插入 磁盘 ]】。 

| 坚 hosr 的 Winzo6aase - 二 HE 二 汪 了 人 

| 文 贡 虽 、 汪 (FIA)， 涯 杀 [M) 坦 春 (/。 帮助 (H) 
四) @@ 全 和 步 }| 助 2 1 琶 


惠 氢 机 “Win2016Base" 已 关闭 


IE 


图 $3-14 


STEP 较 如 图 $-3-15 所 示 开 始 安装 Windows Server 2016 ( 以 下 省 略 安装 步骤 ) 。 
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图 $-3-15 


安装 过 程 中 ， 若 要 针对 主机 来 操作 鼠标 ， 却 发 生 无 法 顺利 将 鼠标 指针 移动 到 窗口 外 的 情 
况 ; 入 图- = 有 册 3 个 键 ， 针 。 这 3 个 键 称 为 鼠标 释放 键 。 另 外 ， 


理 器 窗口 下 单 击 右 例 Byperv 设 告 … 来 更 效 限 标 释 放 甸 。 通过 按 硬 虽 
以 模拟 虚拟 机 内 按 枉 加 + 出 | + 一] 的 操作 。 


为 了 让 主机 与 虚拟 机 之 间 有 更 高 的 整合 度 〈 让 用 户 对 鼠标 、 键 盘 、 网 络 、 显 示 等 有 最 佳 
的 控制 体验 ) ， 虚 拟 机 内 还 需要 有 Hyper-V 集 成 服务 〈HyperV Integration Services) 。 
Windows Server 2016、 Windows Server 2012 R2、Windows Server 2012 、Windows 10、 
Windows 8.1 等 操作 系统 已 经 内 置 HyperV 集 成 服务 ， 其 他 操作 系统 需要 将 现 有 的 Hyper-V 集 成 
服务 升级 或 安装 Hyper-V 集 成 服务 。 


Windows Server 2016 Hyper-V 可 以 将 虚拟 机 的 状态 保存 起 来 后 关闭 虚拟 机 ， 下 一 次 要 使 
用 此 虚拟 机 时 ， 就 可 以 直接 将 其 恢复 成 为 关闭 前 的 状态 。 保 存 状 态 的 方法 为 : 【 单 击 虚 
拟 机 窗口 中 的 操作 菜单 2 保存 】- 


以 后 只 要 如 前 面 STEPE 加 与 STEP E 的 步骤 操作 就 可 以 启动 虚拟 机 。 若 想 让 主机 与 虚拟 机 
之 间 可 以 通过 复制 、 粘 贴 来 相互 复制 文件 、 文 字 ， 则 需要 启用 增强 会 话 模式 ;如 图 5-3-16 所 
示 单 击 Hyper-V 设 置 ， 然 后 如 图 $-3-17 所 示 进 行 勾 选 。 


国 
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昌 # Hyper-V 管理 委 


文件 肯 。 手 fFIA) 查看 帮助 IJ 


和 史 | 丰 恒 | 日 疝 
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图 5-3-17 


1366 X 768 像素 
口 人 所 有 上 入 基 (0 
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若 要 在 虚拟 机 的 增强 会 话 模 式 与 非 增强 会 话 模 式 之 间 切 换 ， 可 【 单 击 虚拟 机 窗口 上 方 的 


查看 纪 增强 会 话 】。 
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5.4 建立 更 多 的 虚拟 机 


可 以 重复 利用 前 一 节 所 叙述 的 步骤 来 建立 更 多 虚拟 机 ， 不 过 采用 这 种 方法 时 ， 每 一 个 虚 
拟 机 会 占用 比较 多 的 硬盘 空间 ， 而 且 配置 的 时 间 比 较 长 。 本 节 将 介绍 另外 一 种 既 省 时 又 节省 
硬盘 空间 的 方法 。 


差异 虚拟 硬盘 


此 方法 是 将 之 前 所 建立 虚拟 机 Win2016Base 的 虚拟 硬盘 当 作 母 盘 〈parent disk) ， 并 以 此 
母 盘 为 基准 来 建立 差异 虚拟 硬盘 《differencing virtual disk) ， 然 后 将 此 差异 虚拟 硬盘 分 配给 
新 的 虚拟 机 来 使 用 ， 如 图 $-4-1 所 示 当 启动 右边 的 虚拟 机 时 ， 它 仍然 会 使 用 Win2016Base 的 母 
盘 ， 但 之 后 在 此 系统 内 所 进行 的 任何 改动 都 只 会 被 存储 到 差异 虚拟 硬盘 ， 并 不 会 更 改 
Win2016Base 的 母 盘 的 内 容 。 


Windows Server 2016 
虚拟 机 1 


口 
后， 了 


| 母 盘 } 差异 雇 拟 硬盘 1 


之 后 如 果 使 用 母 盘 的 Win2016Base 虚 拟 机 被 启动 过 ， 则 其 他 使 用 差异 虚拟 硬盘 的 虚拟 机 
将 无 法 启动 。 如 果 母 盘 文件 故障 或 丢失 ， 则 其 他 使 用 差异 虚拟 硬盘 的 虚拟 机 也 无 法 启 
动 。 


建立 使 用 「 差异 虚拟 硬盘 」 的 虚拟 机 


下 面 将 Win2016Base 虚 拟 机 所 使 用 的 虚拟 硬盘 当 作 母 盘 来 制作 差异 虚拟 硬盘 ， 并 建立 一 
个 使 用 此 差异 虚拟 硬盘 的 虚拟 机 Serverl。 请 先 将 拥有 此 母 盘 的 虚拟 机 关机 。 


国 9 
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STEP 回 如 图 $-4-2 所 示 【 选中 主机 名 右 击 人 新 建 2 硬盘 】。 


图 54-2 


STEP 回 。 出 现 开始 之 前 界面 时 单 击 请 汪 昌 拉 锯 。 
STEP 图 ”在 图 5-4-3 中 可 选择 默认 的 格式 ( 扩展 名 为 vhdx ) 后 单 击 辆 且 | 扩 钮 。 


国 量 | 。 windows server 2016 系统 配置 指南 


STEP 回 在 图 5-4-5 中 为 此 虚拟 硬盘 命名 ( 例如 Serverl.vhdx ) 后 单 击 国有 国 按 钮 。 虑 拟 硬 坦 
文件 默认 的 存储 位 置 为 CUsers\Public\Documents\Hyper-V\Virtual Hard Disks。 


加 5-4-5 


STEP 回 ”在 图 5-4-6 中 选择 要 当 作 母 盘 的 虚拟 硬盘 文件 ， 也 就 是 Win2016Base.vhdx。 


| “为 圳 抽泣 异 虚 所 硬盘 指定 用 作 其 父 硬盘 的 虚拟 硬盘 * 


| 人 旱 (: CaO 人 测 


546 
STEP 贺 。 出 现 正在 完成 新 建 虚拟 硬盘 向 导 界 面 时 单 击 凡 蛮 按钮。 


STEP 图 。” 接 下 来 将 建立 使 用 差异 虚拟 硬盘 的 虚拟 机 。 请 如 图 5-4-7 所 示 【 选 中 主机 名 右 击 人 
新 建 3 虚 拟 机 】。 


目 8 Hyper-V 管理 巡 二 了 全 ， 光 
文件 (fj 各 作 (全 帮助 (H) 
4 史 | 和 由 而 | 目 刷 人 
国 hyperv 营 Rs 
| nn 忆 内 
区 
导入 虚拟 机 (M)- 本 
一 一 一 一 一 一 一 导入 虚拟 机 -_ 
| PEV 识 昌 人 Hyper-V 设置 


5.4.7 


STEP 回 。 出 现 开始 之 前 界面 时 单 击 辆 潮 加 拉 钮 。 
STEP 才 四。 在 图 5-4-8 中 为 此 虚拟 机 命名 后 ( 例如 Serverl ) 单 击 熏 国 提 撤 钮 。 


国 ss 


STEP 


STEP 四 


STEP 国 
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在 图 5-4-9 中 可 选择 与 日 版 Hyper-V 硬 盘 兼 容 的 第 一 代 设 置 ， 或 拥有 新 功能 的 第 二 代 
设置 ( 来 宾 操 作 系 统 至 少 需要 为 Windows Server 2012 或 64 位 的 Windows 8 ) 后 单 


+ 国 国 se. 
新 建 坟 拟 机 向 导 


D 第 一 化 (0 
此 卉 拭 机 世代 支持 了 位 和 64 位 来 宾 操 作 系统 并 提供 了 在 所 有 早期 版 本 的 hyperY 中 已 可 用 的 虚拟 大 件 * 
@R-faO 
村人 提供 了 对 入 8 的 直 权 化 力 能 89 吉 和， 具有 基于 UEFI 的 固件 ， 并 且 需 要 受 支 持 的 04 位 来 启 扣 
| 全 晶 以 机 一 Be 绸 后 ， 你 格 无 法 更 其 版 本 。 
549 


在 图 5-4-10 中 指定 分 配给 此 虚拟 机 的 内 存 容量 ， 例 如 3072MB， 单 击 病 汪 到 扩 钮 。 


在 图 5-4-11 中 选择 虚拟 网 卡 所 连接 的 虚拟 交换 机 ， 例 如 将 其 连接 到 之 前 所 建立 的 第 
1 个 虚拟 交换 机 对 外 连接 的 虚拟 交换 机 ( 此 交换 机 是 使 用 物理 网 卡 所 建立 的 ， 它 是 
属于 外 部 类 型 的 交换 机 ) ， 单 击 请 晴 加 寺 钮 。 


开始 之 前 人 0 各 二 一个 PR 汪 “ = 克 可 以 革 置 网 络 适 也 小 以 使 用 虚拟 交换 机 ， 否 刚 ， 它 符 保 失业 开 和 连接 杖 


指定 代数 sc 二 有 | 
| 


图 5431 
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STEP 加 在 图 5-4-12 中 选择 分 配给 此 虚拟 机 的 虚拟 硬盘 ， 我 们 选择 之 前 所 建立 的 差异 虚拟 硬 


盘 Serverl.vhdx， 单 击 1 拓 拉 钮 。 


SB) 
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STEP 鲜 。 出 现 正在 完成 新 建 虚拟 机 向 导 界面 时 单 击 甘 呈 按钮 。 
STEPE 轿 图 5-4-13 为 完成 后 的 界面 ， 请 启动 此 虚拟 机 、 登 录 。 


35413 


STEPE 加 “由 于 此 虚拟 机 是 利用 Win2016Base 制 作出 来 的 ， 故 其 SID ( Security Identifier ) 等 
具备 唯一 性 的 信息 ， 会 与 Win2016Base 相 同 ， 建 议 执行 sysprep.exe 来 更 改 此 虚拟 机 
的 SID 等 信息 ， 否 则 在 某 些 情况 下 会 有 问题 ， 例 如 两 合 SID 相 同 的 计算 机 无 法 同时 
加 入 域 。sysprep.exe 位 于 C:VWindows\System32\sysprep 文件 夹 内 。 注 意 执 行 
sysprep.exe 时 需 如 图 $-4-14 所 示 色 选 通用 才 会 更 改 SID。 
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5.5 通过 Hyper-V 主 机 连接 Internet 


| 前 面 介绍 过 如 何 新 建 一 个 属于 外 部 类 型 的 虚拟 交换 机 ， 虚 拟 机 的 虚拟 网 卡 如 果 是 连接 到 
| 这 个 虚拟 交换 机 ， 就 可 以 通过 外 部 网 络 连接 Internet。 
如 果 新 建 属于 内 部 类 型 的 虚拟 交换 机 ，Hyper-V 也 会 自动 为 主机 建立 一 个 连接 到 此 虚拟 
| 交换 机 的 网 络 连接 ， 若 虚拟 机 的 网 卡 也 是 连接 在 这 个 交换 机 ， 这 些 虚拟 机 就 可 以 与 HyperV 
主机 通信 ， 但 是 无 法 通过 Hyper-V 主 机 来 连接 Internet， 不 过 只 要 将 Hyper-V 主 机 的 NAT 〈 网 络 . 
| 地 址 转换 ) 或 ICS〈Intermet 连 接 共享 ) 启用 ， 这 些 虚拟 机 就 可 以 通过 HyperV 主 机 来 连接 
Internet。 

新 建 内 部 虚拟 交换 机 的 方法 为 , 【打开 Hyper-V 管 理 器 Q 单 击 主机 名 纺 单 击 右 侧 虚 拟 交 
换 机 管理 器 2 如 图 5-5-1 背 景 图 所 示 选 择 内 部 3 单 击 强 是 和 殉 三 全 则 扩 钮 2 在 前 景 图 中 为 此 虚 
拟 交换 机 命名 《例如 内 部 虚拟 交换 机 ) 后 单 击 桂 踢 按钮 】. 


apm 


图 $-5-1 
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完成 后 ， 系 统 会 为 Hyper-V 主 机 新 建 一 个 连接 到 这 个 虚拟 交换 机 的 网 络 连 接 ， 如 图 $-$-2 
所 示 的 vEthernet (内 部 虚拟 交换 机 ) 。 


[入 网 络 连接 Ce 
个 | 厨 ， 控 制 画 瑟 ， 网 阁 和 Internet ， 网 络 连接 》 v | 驴 。 | 搜 索 "网 绝 连 接 " 户 


组 织 ”从 用 此 网 络 设备 。。 诊断 这 个 连接 。。 重 命名 此 连接 。。 查看 此 连 榨 的 状态 更 改 此 连接 的 设置 导 ~ 器 和 @ 
本 以 太 网 vEthernet (对 外 连接 的 虚拟 交换 机 ) 页 当 | 


、 未 识别 的 网 络 
intel(R) 82579LM Gigabit Netw,。 。 吧 HypervVirual Ethermet Adap NA 
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如 果 需 要 让 连接 在 此 内 部 虚拟 交换 机 的 虚拟 机 可 以 通过 Hyper-V 主 机 来 上 网 ， 只 要 将 主 
机 内 可 以 连接 Internet 的 连接 vEthernet〈 对 外 连接 的 虚拟 交换 机 ) 的 Internet 连 接 共享 
《ICS) 启用 即 可 : 【选中 vEthernet〈 对 外 连接 的 虚拟 交换 机 ) 右 击 纺 属性 纺 如 图 5-5-3 勾 选 
共享 选项 卡 下 的 选项 】。 


图 $-5-3 


系统 会 将 Hyper-V 主 机 的 VEthernet〈 内 部 虚拟 交换 机 ) 连接 的 卫 地 址 改 为 192.168.137.1 
(如 图 $-5-4 所 示 ) ， 而 连接 内 部 虚拟 交换 机 的 虚拟 机 ， 其 下地 址 也 需要 为 192.168.137.x/24 的 
格式 ， 同 时 默认 网 关 要 指定 到 192.168.137.1 这 个 耳 地 址 。 因 为 Internet 连 接 共享 具备 DHCP 分 
配 I 地 址 的 功能 ， 也 就 是 连接 在 内 部 虚拟 交换 机 的 虚拟 主机 的 下 地 址 设置 为 自动 获取 即 可 ， 
不 需要 手动 设置 。 


国 1o 
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Internet 协议 版 本 4 (TCP/IPv4) 属性 


〇 自动 获得 Ip 地 址 [O) 
图 使 用 下 面 的 | 地 址 (S): 


1IpP 地 址 (): 
子 网 掩 码 (U): 
葡 认 网 关 (D): 


| 自 动 芝 得 DNS 服务 器 好 址 [B) 
 - 轿 使 有 下面 的 DNS 服务 中 地 址 (E)， 
”首选 DNS 服务器 (p): 


5.6 在 Microsoft Azure 云 建立 虚拟 机 


传统 上 ， 企 业 将 各 项 服务 搭建 在 企业 内 部 机 房 内 ， 例 如 服务 器 、 存 储 设备 、 数 据 库 、 网 
络 、 软 件 服务 等 ， 然 而 随 着 云 计 算 越 来 越 普及 ， 企 业 为 了 降低 硬件 成 本 、 减 少 电费 支出 、 减 
少 机 房 空 间 的 使 用 、 提 高 管理 效率 、 减 轻 IT 人 员 的 管理 负担 ， 越 来 越 多 的 企业 逐渐 向 云端 走 
关 5 

云 计算 最 基本 的 项 目 之 一 就 是 虚拟 机 ， 本 节 将 介绍 如 何在 Microsoft Azure 云 上 面 建立 
Windows Server 2016 的 虚拟 机 。 


申请 免费 使 用 账号 


需要 申请 Microsoft Azure 账 号 ， 而 可 以 试用 30 天 的 订阅 账户 有 1326 元 的 免费 额度 。 以 一 
台 双 核 CPU、4GB RAM、20GB 硬 盘 的 虚拟 机 来 说 ，1 小 时 收费 1.10 元 ，1 个 月 才 792 元 ， 因 此 
1326 元 绰绰有余 。 免 费 额度 用 完 或 试用 期 限 到 期 时 ， 除 非 继续 订阅 ， 否 则 不 会 收费 。 若 要 查 
看 虚拟 机 的 详细 收费 ， 可 以 访问 以 下 成 本 估算 网 站 ; 

https://azure.microsoft.comy/zh-CN/pricing/calculator/ 

然后 【 单 击 产品 处 的 计算 仿 单 击 右 侧 虚 拟 机 驴 在 价格 层次 选择 所 需 层 次 3 在 实例 处 选择 
所 需 的 虚拟 机 《参考 图 5$-6-1， 图 中 的 规格 与 金额 仅 供 参考 ， 随 时 可 能 会 有 变动 ) 】。 
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估价 思 @e 


3137. 三 


sy 机 
玖 过: 隐 仔 美亚 美 : 


亚 旭 东部 v iadows 


《和食 归 的) 更 多 信息 
(定价 评 绍 售 


re 本 ii 国 zg 一 
Save ap 训 4 区 with hzsre 3rbrid Bopefit for Findows Sermer 3 产品 人 # 桓 语 2 站 > 


,和 .1357 人 小 对 


图 S-6-1 


若 要 申请 免费 账户 ， 则 可 访问 网 址 https:Wazure.microsoft.com/zh-CNV/free/， 
6-2 中 的 免费 开始 〈 需 要 准备 信用 卡 ) 。 


江 即 创建 Azure 免费 帐户 


向 


然后 单 击 图 5- 
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建立 虚拟 机 
完成 账户 申请 后 ， 就 可 以 开始 使 用 Microsoft Azure 云 资源 了 ， 我 们 也 将 开始 建立 虚拟 
机 。 


STEP 贺 ”打开 浏览 器 ， 利 用 http://portal.azure.com/ 登录 Microsoft Azureo 
STEP 加 如 图 5-6-3 所 示 单 击 左下 方 的 虚拟 机 。 


全 (WE 板 -Mkcrosoftaaur X 让 ，， 


在 人》 下 | 台 PortaLazuee cornjsdashboardiprieateycT2rcds6-02Ie.42c5- 汪 于 <22159dd900f 


没有 可 畦 示 的 资源 
知 半 看 不 到 要 查找 的 内 容 ， 2 


STEP 图 ”如 图 $-6-4 所 示 单 击 + 添加 。 


| 及 虚拟 机 - Microsoft Azur 汉 


PT 


白 PertalLazureconVsbiede/HubsExtensiorVResourcssn 人 让 


(an) 9 配 标 沼 。 E 列 《)》 UN 新 。 开始 。 局 重新 襄 动 


默 兴 目录 目录 中 没有 任何 订阅 . 
共 仿 次 共 连 -. 所 有 资源 组 v ，， 所 有 类 型 v ，| 所 有 位 置 “v | | 不 进行 分 姐 立 


09 个 顶 
门 ] 和 二 其 到 - 答 三 生 


测 汪 


没有 可 昱 示 的 虚拟 机 
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STEP 回 ”在 图 $-6-$ 查 找 要 建立 的 虚拟 机 系统 ， 例 如 图 中 输入 “Windows Server 2016”， 然 
后 从 查找 结果 中 选择 Windows Server 2016 Datacentero 


和 人 上 日 | 旧 poraslamaeeomvrbedeyMiktosof rure Madketplece/GaeryfeaturedMeruttemr8lsdelselectedMenuitemic 个 


| -| :| 


Ubuntu Server 人 rmachine 。 Sharepoint 
本 Trial 
Micrcsof ea 


STEP 回 ”在 图 5-6-6 中 选择 默认 的 、 新 版 的 部 署 模型 资源 管理 器 后 单 击 创建 ( 另 一 种 部 署 模 
型 为 经 典 ， 它 是 早期 所 支持 的 模型 ) 。 为 了 简化 资源 的 部 署 与 管理 ， 建 议 选择 资源 
管理 器 。 


A Wiidowssener206D 


4 人 0 1a REPORT 


Windows Server 2016 is a comprehensive server operating system designed to run the 
applications and infrastructure that power your business. k inckudes built-in layers of security 
and innovation to help you run traditional and clcud-native applications with confidence. 
This Server with Desktop Experience image indudes all roles including the graphical user 
interface (GUD. 

This image can be used with Azure Hybrid Benefh for Windows Server. 

Legal Terms 


By cjicking the Create button, Lacknowledge that1 am getting this software from Microso 葵 
and that the legal terms of Microsoft apply to 让 Microsoft does not provide rights for third- 
Party software. Also see the privacy statement from Microso 化 
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闪 基本 -Microsoft Azure1l 基 


尾 nt 


名 称 : 为 此 唐 拟 机 命名 ， 例 如 MyServer1l 。 

VM 磁 盘 类 型 ; 若 要 选择 月 租 费 较 低廉 的 ， 请 选择 HDD。 若 选择 SSD， 则 可 供 选 
择 的 虚拟 机 月 租 费 都 是 较 高 的 。 

用 户 名 称 与 密码 请 自 定 义 ， 其 中 密码 需 至 少 12 个 字 ， 且 至 少 要 包含 A~Z、a~z、 
0~9、 非 字母 字符 〈 例 如 !、$、#、 史 ) 等 4 组 字符 中 的 3 组 。 

订阅 : 此 时 仅 有 Free Trial 可 供 选 择 。 免 费 额 度 用 完 或 试用 期 限 到 期 ， 此 Free Trial 
订阅 无 法 再 使 用 ， 但 是 可 以 申请 其 他 类 型 的 订阅 ， 然 后 在 此 选择 来 使 用 它 〈 要 收 
费 的 ) 。 

资源 组 : 选择 用 来 集中 管理 资源 的 资源 组 ,由 于 目前 还 没有 资源 群 组 可 供 使 用 ， 
因此 选择 新 建 ， 然 后 自行 设置 组 名 ， 例 如 MyResource1l。 


STEP 加 在 图 $-6-8 中 单 击 查看 所 有 。 
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porisiazure.CrVNcTEaEeA4icrOs0 拓 derwsServer2032R2Dz 


令 入 业 中 痢 R 枚 
荆 四 R 到 > 号 
5 3 攻 


1 


图 5-68 


STEP 贺 ”在 图 5-6-9 中 选择 所 需 大 小 的 虚拟 机 ， 图 中 假设 是 选择 D1 标 准 。 


机 选 怪 大小- Microsoft Az X 
AGO 


STEP 图 ”在 图 5-6-10 中 直接 单 击 确定 。 
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从 如 村 - Microsoft Azure1 汉 


< 人 口 -18 reasonevs 四 广 | 三 加 


* 存 振 几 户 @ 


(新 ) myresource1disks209 


网 络 
* 应 氛 网 络 @ 

全 有 MyResource1-vnet 
* 子 网 @ 

default (10.0.0.0/24) 


* 公共 轩 地 址 者 


STEPEI 在 图 5$-6-11 中 单 击 确定 。 


| 内 捕 要 - Microsoft Azurei 关 


A 一 


MysServer1 


磁盘 类 型 HDD 

用 户 名 

大 小 标准 D1 

存 铺 帐 户 人 myresource1disks209 
托管 否 

声 拟 网 络 | 
子 网 后 ) defauk (10.0.0.0/24) 
公共 吃 地 址 疡 ) MyServer1-ip 

网 络 安 全 组 (防火 增 ) 倒 ) MyServer1-nsg 

可 用 性 集 无 

来 宾 扣 作 对 统 诊 多 已 禁用 

启动 诊 电 已 启用 


诊断 存 参 帐户 休 ) myresourceldiag711 
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STEP 睫 ”等待 虚拟 机 建立 好 后 ， 就 可 如 图 $-6-12 所 示 单 击 仪表 板 左 侧 的 虚拟 机 、 单 击 所 建立 
虚拟 机 MyServerl。 也 可 以 通过 左 侧 的 所 有 资源 来 查看 当前 在 Azure 中 使 用 的 所 有 
资源 ， 包 含 虚 拟 机 ( 单 击 左上 方 Microsoft Azure 文 字 会 出 现 仪表 板 界面 ) 。 


RES 本 相 


泣 名 购 人 了 其 机 -- 位 加 三 

CE we em 正在 运 -， MyRe.、 中 国 北 . 1 

和 

STEP 较 从 图 5-6-13 可 知 此 虚拟 机 的 相关 配置 数据 ， 例 如 公 网 下 地 址 、 资 源 的 使 用 情况 等 ， 还 
可 以 将 虚拟 机 关机 ( 停止 ) 、 启 动 、 重 新 启动 与 删除 等 。 


朴 MyServert - Microsof A X 9 


[ 瑟 ac 罗 连接 。 入 开始 包 重 新 启动 "更 多 
机 JS 中 | 
攻 轴 2 [ee 0 
里 活动 B 去 MyResource1 Myserver1 
其 志 扣 作 系统 
启 访 问 控制 ( 标 iR 和 访问 管理 ) 正在 运行 Windows 
们 于 大 小 
机 村 8 中 国 北 部 标准 D1 (1wcpu ,3.5GE | 
订 辣 名 便 欧 公共 印 地 址 /DNS 名 称 标 签 
兴 诊断 并 解决 问题 订阅 40.125.174.236/<non.. 
订阅 叫 庶 撤 网 络 / 子 网 
56e5Sabd2-ba88-4939-9 MyResource1-vynet/d.. 
讼 年 和 nn 
旺 网 络 正在 监视 
二 帮 生 CPU 百分比 
博大 小 | 
图 56-13 
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STEP 较 。 接 下 来 将 使 用 远程 桌面 连接 来 连接 与 管理 此 虚拟 机 ， 其 方法 可 先 如 图 5$-6-14 所 示 单 
击 连 接 来 下 载 、 存 储 rdp 文 件 ( 远程 桌面 连接 配置 文件 ) 。 


LT 
和 要 入 | 
和 全 天 蛤 本 区) 2 7 
MyResource1 Myserver1 | 
棒 术 抽 放 联 必 
正在 运行 Windows 
位 杜 大 小 
中 国 北部 标准 D1 ({ vcpu , 3.5.G8 内 看) | 
iT 各 醒 开 公共 耻 地 址 /DNS 名 入 标 答 
何 痪 40.125.174236/<none> | 
宁 辆 避 起 网 细 / 子 网 | 
56e5abd2-ba88-4939-99e7-30a152e9df MyResource1-vnet/default 

民 Casa 和 | 


CPU 百 比 


图 $S-6-14 


STEP 较 “如 图 $-6-1$ 所 示 通 过 开启 所 下 载 zrdp 文 件 的 方式 来 连接 建立 的 、 位 于 Microsoft 
Azure 云 的 Windows Server 2016 虚 拟 机 。 也 可 以 通过 自行 执行 mstsc.exe 程 序 的 方 
式 来 连接 此 虚拟 机 ( 参考 第 12 章 ， 其 中 IP 地 址 请 使 用 图 $-6-15 中 的 公共 IP 地 址 ) 。 


| 呈 iEasmse 二 区 浓 
取 瑟 ” 
AR 
用 户 各 未 和 宇 
当 你 连接 时 格 向 你 询问 凭据 
| 国 ERO) 


| 要 过 扩 , 

| 

最 全 Pa 

| 运程 计算 儿 加 125.174236 

| 全 于 二 并 而) TaRICeol 
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STEP 加 “图 5-6-17 中 输入 前 面 图 5-6-7 中 所 设 定 的 用 户 名 称 与 密码 后 单 击 鞠 出 技 钮 。 
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用 My5erverl - 01251742353363 - 汪 卫 大 三 汉王 


蕊 WELCDAE TD SERVER MANAGER 
痢 Loca sere 
番 An seren 
戎 Pie and Storage Services 


借 Corfigure this loca 引 SETVEr 


2 Add rales and feature5 


Create aserver group 


KonrnecttblsSeryerto cloud Servyice5 


将 英文 版 Windows Server 2016 中 文化 
在 Microsoft Azure 云 中 所 建立 的 Windows Server 2016 虚 拟 机 是 英文 版 ， 需 要 通过 安装 中 文 
语言 包 的 方式 来 将 它 中 文化 。 


STEP 和 加 上 网 查找 、 下 载 Windows Server 2016 中 文 语 言 包 。 
STEP 回 ”选中 左下 角 开 始 图 标 图 后 右 击 3Command Prompt ( Admin ) 纺 如 图 $-6-20 所 示 执 行 
l]pksetup。 


责 Administrator Command Prompt 浸 口 头 


icrosoft windows [Version 196.9.14393] 大 
(c) 2916 Microsoft Corporation .All rights reserved . 


:MindowsN\system32>1jpksetup .exe 


图 56-20 


STEP 如 图 $-6-21 所 示 选 择 Install display languageso 


< 生生) Install or uninstall display languages 


Choose to install or uninstall display languages 


Display languages allow Windows to display ted in your chosen language and where supported 
recognize Speech and handwriting. 


| 
一 Install display languages 


一 Uninstall display languages 


[二 ED 


图 $6-21 
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STEP 四 。 在 图 5-6-22 中 单 击 评 吐 潮 按 钮 来 选择 所 下 载 的 语言 包 文件 ( 假设 文件 名 是 lp.cab ) 后 
单 击 醋 汪 拉 钮 。 


图 56-22 

STEP 出 现 许可 协议 界面 时 选择 I accept the license terms3 单 击 田 吐 按 钮 后 便 会 开始 安装 
中 文 语言 包 人 安装 完成 后 单 击 恋 国 近 钮 。 

STEP 单 击 左 下 角 开 始 图 标 困 3Control Panel 人 单 击 Clock，Language，and Region 处 的 
Add a language 信 如 图 5-6-23 所 示 单 击 Add a language。 


人 娩 Language 
《4 一 个 合 < God EnguageandRegion ，Language vsSeachContolfand 万 


2 Change your language preferences 


Advanced settings shearnkoen 有 人 
Support 


Change date time or number appearin the first language in the lst that 


Ceroe neor Moveup Movsdown 


图 56-23 


STEP 贺 ”如 图 5-6-24 所 示 选 择 中 文 ( 简体 ) 后 单 击 鱼 呈 接 钮 。 


倪 Addianguage 
和 习 个 铬 < Unguage ，Add languages 
Addalanguage 
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STEP 回 。 如 图 5-6-25 所 示 单 击 中 文 ( 中 华人 民 共 和 国 ) 后 单 击 册 响 扩 钮 。 


多 Regional variants 志 
《4 一 个 多 < Addlanguages ，Regionalvariants 

Addalanguage 

Use the search box to find more languages. 


图 $6-25 
，STEP 图 ”在 图 $-6-26 中 通过 Move up、Move down 将 中 文 ( 中 华人 民 共 和 国 ) 移 到 上 方 
为 已 经 调整 好 的 界面 ) 。 


vv 局 [Search CorpolPandl 
Change yourlanguage preferences 


You can yPe in any iangusge you add to the BEL Windows 归 P5 and webstes w 明 Peat in the farst 
ianguage im the fst that they Suppor 


图 $-6-26 


STEP 四 通过 单 击 图 5-6-26 中 的 箭头 处 ， 以 便 回 到 Clock, Language, and Region 界 面 ， 然 后 在 
图 $-6-27 中 单 击 Set the time and date、 单 击 斋 果 尖 一 接 钮 、 在 Time zone 处 
选择 ( Beijing，Chongqing，Hong Kong，Urumqi ) 后 单 击 2 次 着 为 按钮 。 
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STEP 如 图 5$-6-28 所 示 单 击 Change location、 在 Home location 处 选择 China 后 单 击 王 按 
钮 。 


地 clock Language and Region 1 
人 ~ 不 大，Conbolpaned ，Clock Linguage andRegion SearchCordrolpanel 户 


Date and Time 
Sthetime and date 。 Change thetimetone 。 Add ciocks for diierent me zones 


View snd copy your international settings to the welcorne Screen syrtem 
BCcounts and new USer aCCounts 


| Language for non-Unmicode programs 
Thas setting (5yxem locale) controls the language used when displaying 
tedt in programs that do not support Unicode 


Coment language for non-Unicode prograrns 


English (Unaed States) 


一 | @@ Guanee Regional Options 
Would you like to apply your region and 
language changes? 


To ensure that the Computer reflects these changes we 
recommend that you apply them before making any further 
changes 


STEP 上 加 如 图 5-6-30 所 示 选 择 Chinese ( Simplified ，China ) 3 单 击 是 各 按 钮 2 单 击 
汪 丽 按钮 来 重新 启动 计算 机 。 
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个 Change System Locale 


System locale has been changed. You must 
restart Windows forthe changes to take effedct. 


Make sure yousave your work and close all open prcgrams 
System before restarting. 


Azure 的 基本 管理 
如 图 $-6-31 所 示 ， 先 单 击 左 上 方 Microsoft Azure 文 字 来 打开 Azure 仪 表 板 ， 接 着 单 击 左 侧 


到 列 站) 而 新 “> 开 过。 局 本 新 加 功 


中 旋 0 名 FEDEPR 


图 $6-31 


在 单 击 图 中 的 虚拟 机 后 ， 例 如 MyServer1， 就 可 以 看 到 图 $-6-32 的 管理 界面 ， 除 了 可 以 将 
虚拟 机 关机 【停止 ) 、 启 动 、 重 新 启动 与 删除 外 ， 还 可 以 监控 系统 CPU、 网 络 、 硬 盘 等 运行 
情况 。 
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量 停止 人 次 光 S 他 帮 动 汕 弄 人 


1 ne 人 
| 0 
本 次 天 提醒 En 计生 名 称 
四 闫 动 B 志 RN MyServerl1 
议 访问 控制 ( 慰 有 R 和 访问 管理 ) 正在 运行 Windows 
位 村 区 
轨 村 中 国 北部 标准 D1 (1 vcpu , 3.5 G8 内 厅 
订 本 各 便 可 公共 由 地 址 /DNS 名 符 行 答 
大 ” 认 本 并 月 坟 问题 试用 订阅 40.125.174236/<none> 
订 王 到 由 局 渤 / 子 网 
56e5abd2-ba88-4939-99e7-30a152e9da70 。 MyResource1-vnet/defaukt 
吉本 全 ~ 
僵 网 插 正在 稚 视 
| 
密 焉 县 CPU 百分比 | 
异 大 小 


图 $-6-32 
若 要 查询 账单 ，【 打 开 Azure 仪 表 板 令 如 图 $-6-33 所 示 单 击 左 侧 的 成 本 管理 + 计 费 3 通过 前 
景 界面 来 查询 与 管理 】。 
Aaron ”ER 


和 人， 旬 | 日 preapmaemhlrdophiroit poreBE shangerualydeyDyeion 下 让 | 三 世人 


若 免费 试用 的 订阅 Free Trial 使 用 期 限 已 到 或 免费 额度 已 经 用 完 ， 可 以 添加 其 他 的 订阅 ， 
以 便 继 续 使 用 Azure 的 资源 。 添 加 订阅 的 方法 可 通过 前 面 图 $-6-33 的 前 景 图 中 的 + 新 建 订 阅 ， 
也 可 以 通过 【打开 Azure 仪 表 板 仿 如 图 $-6-34 所 示 单 击 左 侧 的 更 多 服务 23 订阅 Q 单 击 图 $-6-35 中 
的 + 添加 】。 


图 11 
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和 e< 一 人 0) | 白 portatampurecnysblade/Microxoft_Azure gifingysub。 人 次 | 三 四 


岂 党 毅 奖 17 故 才 广东 渤 - 


| 3 两 的 色 大 
办 讽 55e5ebd2-ba88-4939-9.。 帐户 管理 本 可 用 
图 5635 


从 图 $-6-36 可 看 到 它 提 供 了 各 种 不 同 的 订阅 ， 其 中 的 Pay-As-You-Go 就 是 “用 多 少 资源 ， 
付 多 少 钱 ”。 


vct Suppont anad recekve he bneht 寺 
pccl of etaisten meneger erd ec io 


区 
aspects 


第 6 章 建立 Active Directory 域 


本 章 将 介绍 Active Directory 的 概念 与 Active Directory 域 的 搭建 方法 。 


Active Directory 域 服务 

建立 Active Directory 域 

将 Windows 计 算 机 加 入 或 脱离 域 
管理 Active Directory 域 用 户 账户 
管理 Active Directory 域 组 账户 
提升 域 与 林 功 能 级 别 

Active Directory 回 收 站 

删除 域 控制 器 与 域 


区 区 区 区 长 区 区 长 
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6.1 Active Directory 域 服务 


什么 是 目录 (Directory) 呢 ? 日 常生 活 中 的 电话 短 中 记录 着 亲朋 好 友 的 姓名 与 电话 号 码 
等 数据 ， 它 就 是 telephone directory (电话 目录 ) ; 计算 机 中 的 文件 系统 〈file system) 中 记 
录 着 文件 的 文件 名 、 大 小 与 日 期 等 数据 ， 它 就 是 fle directory《【 文 件 目 录 ) 。 

若 这 些 目录 (Directory) 内 的 数据 能 够 有 系统 加 以 整理 的 话 ， 用 户 就 能 够 很 容易 快速 地 
查找 到 所 需 的 数据 ， 而 directory service〈 目 录 服 务 ) 所 提供 的 服务 ， 就 是 要 让 用 户 能 够 很 容 
易 快速 地 在 directory 内 查找 所 需 的 数据 。 在 现实 生活 中 ， 查 号 台 也 是 一 种 目录 服务 ; 在 
Internet 上 ，Google 网 站 所 提供 的 搜索 功能 也 是 一 种 目录 服务 。 

Active Directory 域 内 的 directory database〈 目 录 数 据 库 ) 用 来 存储 用 户 账户 、 计 算 机 账 
户 、 打 印 机 与 共享 文件 夹 等 对 象 ， 而 提供 目录 服务 的 组 件 就 是 Active Directory 域 服务 
(CActive Directory Domain Services，AD DS) ， 它 负责 目录 数据 库 的 存储 、 新 建 、 删 除 、 修 
改 与 查询 等 工作 。 


Active Directory 的 适用 范围 非常 广泛 ， 它 可 以 用 在 一 台 计 算 机 、 一 个 小 型 局 域 网 
CLAN) 或 多 个 广域网 (WAN) 的 结合 。 它 包含 此 范围 中 所 有 的 对 象 ， 例 如 文件 、 打 印 机 、 
应 用 程序 、 服 务 器 、 域 控制 器 与 用 户 账户 等 。 


名 称 空间 是 一 个 界定 好 的 区 域 (bounded area) ， 在 此 区 域内 ， 我 们 可 以 利用 某 个 名 称 来 
找到 与 此 名 称 有 关 的 信息 。 例 如 一 本 电话 短 就 是 一 个 名 称 空间 ， 在 这 本 电话 短 内 〈 界 定好 的 
区 域内 ) ， 我 们 可 以 利用 姓名 来 找到 此 人 的 电话 号 码 、 地 址 与 生日 等 数据 。 又 例如 Windows 
操作 系统 的 NTFS 文 件 系统 也 是 一 个 名 称 空间 ， 在 此 文件 系统 内 ， 我 们 可 以 利用 文件 名 来 找到 
此 文件 的 大 小 、 修 改 日 期 与 文件 内 容 等 数据 。 

Active Directory 域 服务 (AD DS) 也 是 一 个 名 称 空间 。 利 用 AD DS， 我 们 可 以 通过 对 象 
名 称 来 找到 与 此 对 象 有 关 的 所 有 信息 。 

在 TCP/PP 网 络 环境 内 利用 Domain Name System (DNS) 来 解析 主机 名 与 卫 地 址 的 对 应 关 
系 ， 例 如 利用 DNS 来 得 知 主机 的 卫 地 址 。AD DS 也 与 DNS 紧密 地 集成 在 一 起 ， 它 的 域名 空间 
也 是 采用 DNS 架构 ， 因 此 域名 是 采用 DNS 格式 来 命名 的 ， 例 如 可 以 将 AD DS 的 域名 命名 为 


Sayms.local。 
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AD DS 内 的 资源 是 以 对 象 的 形式 存在 ， 例 如 用 户 、 计 算 机 等 都 是 对 象 ， 而 对 象 是 通过 属 
性 来 描述 其 特征 的 ， 也 就 是 说 对 象 本 身 是 一 些 属性 的 集合 。 例 如 若 要 为 用 户 王 乔治 建立 一 个 
账户 ， 则 需要 新 建 一 个 对 象 类 型 〈object class) 为 用 户 的 对 象 〈 也 就 是 用 户 账 户 ) ， 然 后 在 
此 对 象 内 输入 王 乔 治 的 姓 、 名 、 登 录 账 户 与 地 址 等 ， 这 其 中 的 用 户 账 户 就 是 对 象 ， 而 姓 、 名 
与 登录 账户 等 就 是 该 对 象 的 属性 参见 表 6-1-1) 。 另 外 图 6-1-1 中 的 王 乔治 就 是 对 象 类 型 为 用 
户 “〈user) 的 对 象 。 


表 6-1-1 


用 户 和 


容器 与 对 象 相 似 ， 它 也 有 自己 的 名 称 ， 也 是 一 些 属性 的 集合 ， 不 过 容器 中 可 以 包含 其 他 
对 象 〈 例 如 用 户 、 计 算 机 等 对 象 ) ， 也 可 以 包含 其 他 容器 。 而 组 织 单位 是 一 个 比较 特殊 的 容 
器 ， 其 中 除了 可 以 包含 其 他 对 象 与 组 织 单位 之 外 ， 还 可 以 应 用 组 策略 〈group policy) 功能 。 

图 6-1-2 所 示 就 是 一 个 名 称 为 业务 部 的 组 织 单位 ， 其 中 包含 着 多 个 对 象 ， 其 中 两 个 为 用 户 
对 象 、 两 个 为 计算 机 对 象 与 两 个 本 身 也 是 组 织 单位 的 对 象 。 


于 12 
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图 6-1-2 
AD DS 是 以 层次 结构 〈hierarchical) 将 对 象 、 容 器 与 组 织 单位 等 组 合 在 一 起 ， 并 将 其 存 
| 储 到 AD DS 数 据 库 内 。 


可 以 搭建 包含 多 个 域 的 网 络 ， 而 且 是 以 域 树 domain tree) 的 形式 存在 ， 例 如 图 6-1-3 就 
， 是 一 个 域 树 ， 其 中 最 上 层 的 域名 为 sayms.local， 它 是 此 域 树 的 根 域 (root domain) ， 根 域 下 
面 还 有 2 个 子 域 (sales.sayms.local 与 mkt.sayms.local) ， 之 下 总 共 还 有 3 个 子 域 。 
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图 6-1-3 中 域 树 符合 DNS 域名 空间 的 命名 原则 ， 而 且 是 有 连续 性 的 ， 也 就 是 子 域 的 域名 中 
包含 父 域 的 域名 ， 例 如 域 sales.sayms.local 的 后 缀 中 包含 其 前 一 层 〈 父 域 ) 的 域名 
sayms.local， 而 norsales.sayms.local 的 后 缀 中 包含 其 前 一 层 的 域名 sales.sayms.local。 

在 域 树 内 的 所 有 域 共享 一 个 AD DS， 也 就 是 在 此 域 树 之 下 只 有 一 个 AD DS， 不 过 其 中 的 
数据 是 分 散 存储 在 各 域 中 的 ， 每 一 个 域内 只 存储 隶属 于 该 域 的 数据 ， 例 如 该 域内 的 用 户 账户 

(存储 在 域 控制 器 内 ) 。 


两 个 域 之 间 必 须 拥有 信任 关系 -(trust relationship) ， 才 可 以 访问 对 方 域内 的 资源 。 而 任 
何 一 个 新 的 AD DS 域 被 加 入 到 域 树 后 ， 这 个 域 会 自动 信任 其 上 层 的 父 域 ， 同 时 父 域 也 会 自动 


信任 此 新 子 域 ， 而 且 这 些 信 任 关系 具 备 双 向 传递 性 〈two-way transitive) 。 由 于 此 信任 工作 是 
通过 Kerberos security protocol 来 完成 的 ， 因 此 也 被 称 为 Kerberos trust。 


日 域 A 的 用 户 登录 到 其 所 隶属 的 域 后 ， 这 个 用 户 是 否 能 访问 B 域 内 的 资源 呢 ? 


人 只 要 域 B 有 信任 域 A 就 没有 问题 。 


我 们 以 图 6-1-4 来 解释 双向 传递 性 ， 图 中 域 A 信 任 域 B〈 箭 头 由 A 指 向 B) 、 域 B 又 信任 域 
C， 因 此 域 A 自 动 信任 域 C; 另外 域 C 信 任 域 B《〈 箭 头 由 C 指 向 B) 、 域 B 又 信任 域 A， 因 此 
域 C 自 动 信任 域 A。 结 果 是 域 A 和 域 C 之 间 也 就 自动 地 建立 起 双向 的 信任 关系 。 

当 任 何 一 个 新 域 加 入 到 域 树 后 ， 它 会 自动 双向 信任 这 个 域 树 内 所 有 的 域 ， 因 此 只 要 拥有 
适当 权限 ， 这 个 新 域内 的 用 户 就 可 以 访问 其 他 域内 的 资源 了 ， 同 理 其 他 域内 的 用 户 也 可 以 访 
问 这 个 新 域内 的 资源 。 


这 个 双向 信任 关 
系 是 自动 建立 的 
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森林 是 由 一 个 或 多 个 域 树 所 组 成 的 ， 每 一 个 域 树 都 有 自己 唯一 的 名 称 空间 ， 如 图 6-1-5 所 
示 ， 例 如 其 中 一 个 域 树 中 的 每 一 个 域名 都 是 以 sayms.local 结 尾 ， 而 另 一 个 则 都 是 以 
saytmg.local 结 尾 。 


图 6-1-5 


第 1 个 域 树 的 根 域 就 是 整个 森林 的 根 域 〈forest root domain) ， 同 时 其 域名 就 是 森林 的 林 
名 称 。 例 如 图 6-1-5 中 的 sayms.local 是 第 1 个 域 树 的 根 域 ， 它 就 是 整个 森林 的 根 域 ， 而 森林 的 名 
称 就 是 sayms.local。 

当 建 立 森 林 时 ， 每 一 个 域 树 的 根 域 与 森林 根 域 之 间 的 双向 、 可 传递 的 信任 关系 会 自动 被 
建立 起 来 ， 因 此 每 一 个 域 树 中 的 每 一 个 域内 的 用 户 ， 只 要 拥有 权限 ， 就 可 以 访问 其 他 任何 一 
个 域 树 内 的 资源 ， 也 可 以 到 其 他 任何 一 个 域 树 内 的 成 员 计 算 机 上 登录 。 


AD DS 对 象 的 类 型 与 属性 数据 是 定义 在 架构 内 的 ， 例 如 它 定 义 了 用 户 对 象 类 型 中 包含 哪 


一 些 属 性 〈 姓 、 名、 电话 等 ) 、 每 一 个 属性 的 数据 类 型 等 信息 。 
隶属 于 Schema Admins 组 的 用 户 可 以 修改 架构 中 的 数据 ， 应 用 程序 也 可 以 自行 在 架构 中 
增加 其 所 需要 的 对 象 类 型 或 属性 。 在 一 个 森林 内 的 所 有 域 树 共享 相同 的 架构 。 


123 转 


十 Windows Server 2016 系统 配置 指南 


6.19 域 控制 器 (Doman coole 


Active Directory 域 服务 (AD DS) 的 目录 数据 是 存储 在 域 控 制 器 内 的 。 一 个 域内 可 以 有 
多 台 域 控制 器 ， 每 一 台 域 控制 器 的 地 位 几乎 是 平等 的 ， 它 们 各 自 存储 着 一 份 相同 的 AD DS 数 
据 库 。 当 在 任何 一 台 域 控制 器 内 新 建 了 一 个 用 户 账 户 后 ， 该 账户 默认 是 被 建立 在 此 域 控制 器 ， 
的 AD DS 数 据 库 ， 之 后 会 自动 被 复制 〈replicate) 到 其 他 域 控制 器 的 AD DS 数 据 库 ， 以 便 让 所 ， 
有 域 控制 器 内 的 AD DS 数 据 库 都 能 够 同步 (synchronize) 。 

当 用 户 在 域内 某 台 计算 机 登录 时 ， 会 由 其 中 一 台 域 控制 器 根据 其 AD DS 数 据 库 内 的 账户 ， 
数据 来 审核 用 户 所 输入 的 账户 名 称 与 密码 是 否 正 确 。 若 是 正确 的 ， 用 户 就 可 以 成 功 登 录 ; 反 
之 ， 会 被 拒绝 登录 。 

多 人 台 域 控制 器 还 可 以 提供 容错 功能 ， 例 如 其 中 一 台 域 控制 器 故障 了 ， 此 时 仍然 能 够 由 其 ， 
他 域 控制 器 来 继续 服务 。 另 外 它 也 可 以 改善 用 户 的 登录 效率 ， 因 为 多 台 域 控制 器 可 以 分 担 审 
核 用 户 登 录 身 份 〈 账 户 名 称 与 密码 ) 的 负担 。 | 

域 控制 器 是 由 服务 器 级 别 的 计算 机 来 扮演 的 ， 例 如 Windows Server 2016、Windows 
Server 2012 (R2) 、Windows Server 2008 (R2) 等 。 

前 述 域 控制 器 的 AD DS 数 据 库 是 可 以 被 读 与 写 的 ， 除 此 之 外 ， 还 有 AD DS 数 据 库 是 只 能 
被 读 取 、 不 能 被 修改 的 只 读 域 控制 器 〈Read-Only Domain Controller，RODC) 。 企 业 分 支 机 
构 的 网 络 ， 若 其 安全 措施 并 不 像 总 公司 一 样 完备 的 话 ， 很 适合 架设 RODC。 


轻 量 级 目录 访问 协议 〈Lightweight Directory Access Protocol，LDAP) 是 一 种 用 来 查询 与 
更 新 AD DS 数 据 库 的 目录 服务 通信 协议 。AD DS 利 用 LDAP 名 称 路 径 (LDAP naming path ) 
来 表示 对 象 在 AD DS 数 据 库 中 的 位 置 ， 以 便 用 来 访问 AD DS 数 据 库 中 的 对 象 。LDAP 名 称 路 
径 包 含 : 


涪 可 分 辨 名 称 (Distinguished Name，DN ) : 它 是 对 象 在 AD DS 数 据 库 内 的 完整 路 
径 ， 例 如 图 6-1-6 中 的 用 户 账户 名 称 为 林 小 洋 ， 其 DN 为 : 
CN= 林 小 洋 ,OU= 业 务 一 组 ,OU= 业 务 部 ,DC=sayms,DC=local 
其 中 的 DC (domain component ) 表示 DNS 域名 中 的 组 件 ， 例 如 sayms.local 中 的 sayms 
与 local; OU 为 组 织 单位 ; CN 为 通用 名 称 (common name ) 。 除 了 DC 与 OU 之 外 ， 其 
他 都 是 利用 CN 来 表示 的 ， 例 如 用 户 与 计算 机 对 象 都 属于 CN。 上 述 DN 表 示 法 中 的 
sayms.local 为 域名 ， 业 务 部 、 业 务 一 组 都 是 组 织 单 位 。 此 DN 表 示 账 户 林 小 洋 是 存储 
在 sayms.local\ 业 务 部 \ 业 务 一 组 路 径 内 。 

站 ”相对 可 分 辨 名 称 (Relative Distinguished Name，RDN ) : RDN 用 来 代表 DN 完 整 路 径 
中 的 部 分 路 径 ， 例 如 前 述 路 径 中 ，CN= 林 小 洋 、OU= 业 务 一 组 等 都 是 RDN。 
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除了 DN 与 RDN 这 两 个 对 象 名 称 外 ， 另 外 还 有 以 下 两 个 名 称 : 

国 “Global Unique Identifier (GUID ) : GUID 是 一 个 128-bit 的 值 ， 系 统 会 自动 为 每 
一 个 对 象 指定 一 个 唯一 的 GUID。 虽 然 您 可 以 改变 对 象 的 名 称 ， 但 是 其 GUID 永 远 
不 会 改变 。 

四 “User Principal Name (UPN ) : 每 一 个 用 户 还 可 以 有 一 个 比 DN 更 短 、 更 容易 记 
忆 的 UPN 名 称 ， 例 如 图 6-1-6 中 的 林 小 洋 隶 属于 域 sayms.local， 则 其 UPN 为 
bob@sayms.local。 用 户 登 录 时 所 输入 的 账户 名 称 最 好 是 UPN， 因 为 无 论 此 用 户 账 
户 被 移动 到 哪 一 个 域 ， 其 UPN 都 不 会 改变 ， 因 此 用 户 可 以 一 直 使 用 同一 个 名 称 来 


虽然 在 域 树 内 的 所 有 域 共享 一 个 AD DS 数 据 库 ， 但 其 数据 却 是 分 散在 各 个 域内 ， 而 每 个 
域 只 存储 该 域 本 身 的 数据 。 为 了 证 用 户 、 应 用 程序 能 够 快速 找到 位 于 其 他 域内 的 资源 ， 因 此 
在 AD DS 内 便 设 计 了 全 局 编 录 〈8global catalog ) 。 一 个 森林 内 的 所 有 域 树 共享 相同 的 全 局 编 
录 。 

全 局 编 录 的 数据 是 存储 在 域 控制 器 内 的 ， 这 台 域 控制 器 被 称 为 全 局 编 录 服务 器 ， 它 存储 
着 森林 内 所 有 域 的 AD DS 数 据 库 内 的 每 一 个 对 象 ， 不 过 只 存储 对 象 的 部 分 属性 ， 这 些 属 性 都 
是 供 搜索 使 用 的 常用 属性 ， 例 如 用 户 的 电话 号 码 、 登 录 账 户 名 称 等 。 全 局 编 录 让 用 户 即 使 不 
知道 对 象 是 位 于 哪 一 个 域内 ， 仍 然 可 以 很 快速 地 找到 所 需 对 象 。 

用 户 登 录 时 ， 全 局 编 录 服务 器 还 负责 提供 该 用 户 所 隶属 的 通用 组 信息 ; 用户 利用 UPN 登 
录 时 ， 它 也 负责 提供 该 用 户 隶 属于 哪 一 个 域 的 信息 。 
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站 点 是 由 一 个 或 多 个 IP 子 网 所 构成 的 ， 这 些 子 网 之 间 通 过 高 速 且 可 靠 的 连接 连接 在 一 
起 ， 也 就 是 这 些 子 网 之 间 的 连接 速度 要 够 快 且 稳 定 ， 否 则 就 应 该 将 它们 分 别 规划 为 不 同 的 站 
一 般 来 说 ， 一 个 LAN“〔 局 域 网 ) 内 的 各 个 子 网 之 间 的 连接 都 符合 速度 快 且 高 可 靠 的 要 


| 
| 
| 
| 
1 


| 
1 
| 


求 ， 因 此 可 以 将 一 个 LAN 规 划 为 一 个 站 点 ;而 通过 WAN (广域网 ) 连接 的 LAN 之 间 的 连接 速 | 


度 一 般 都 不 快 ， 因 此 通过 WAN 连 接 的 各 个 LAN 应 分 别 规划 为 不 同 的 站 点 ， 参 见 图 6-1-7。 


域 是 逻辑 的 《logical) 分 组 ， 而 站 点 是 物理 的 〈physical) 分 组 。 在 AD DS 内 每 一 个 站 点 


中 可 能 包含 多 个 域 ， 而 一 个 域内 的 计算 机 也 可 能 分 别 散布 在 不 同 的 站 点 中 。 


上 海 应 该 被 独立 规划 为 一 
个 站 点 ， 因 为 它 与 北京 1 
之 间 的 连接 速度 并 不 快 广州 应 该 被 规划 为 一 个 站 
点 ， 因 为 它 与 北京 1 之 间 
的 连接 速度 并 不 快 


图 61-7 


若 一 个 域 的 域 控制 器 分 布 在 不 同 站 点 内 ， 而 站 点 之 间 是 低速 连接 的 话 ， 由 于 不 同 站 点 的 
域 控制 器 之 间 会 互相 复制 AD DS 数 据 库 ， 因 此 需 谨慎 规划 执行 复制 的 时 间 ， 也 就 是 尽量 在 网 
络 空闲 时 段 才 执 行 复 制 工作 ， 同 时 复制 频率 不 要 太 高 ， 以 避免 复制 时 占用 站 点 之 间 的 连接 带 
宽 ， 影 响 站 点 之 间 其 他 数据 的 传输 效率 。 

同一 个 站 点 内 的 域 控制 器 之 间 是 通过 “高 速 连接 ”连接 在 一 起 的 ， 因 此 在 复制 AD DS 数 
据 时 ， 可 以 高 速 复制 。AD DS 会 设置 让 同一 个 站 点 内 、 隶 属于 同一 个 域 的 域 控制 器 之 间 自 动 
执行 复制 工作 ， 且 默认 的 复制 频率 也 比 不 同 站 点 之 间 要 高 。 

不 同 站 点 之 间 在 复制 时 所 传送 的 数据 会 被 压缩 ， 以 减少 站 点 之 间 连 接 带宽 的 负载 ， 但 是 
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| 
同一 个 站 点 内 的 域 控制 器 之 间 在 复制 时 并 不 会 压缩 数据 。 


| 


| 随 着 新 版 本 操作 系统 的 推出 ， 会 有 新 功能 的 增加 ，AD DS 将 域 与 森林 划分 为 不 同 的 功能 
下 级别， 新 的 功能 级 别 支 持 新 的 功能 。 


域 功能 级 别 〈Domain Functionality Level) 


Active Directory 域 服务 (AD DS) 的 域 功 能 级 别 设 置 只 会 影响 到 该 域 ， 不 会 影响 到 其 他 
域 。 域 功能 级 别 分 为 以 下 几 种 级 别 ; 


Windows Server 2008: 域 控制 器 需 Windows Server 2008 或 更 新 版 本 。 
Windows Server 2008 R2: 域 控制 器 需 Windows Server 2008 R2 或 更 新 版 本 。 
Windows Server 2012: 域 控 制 器 需 Windows Server 2012 或 更 新 版 本 。 
Windows Server 2012 R2: 域 控制 器 需 Windows Server 2012 R2 或 更 新 版 本 。 
Windows Server 2016: 域 控制 器 需 Windows Server 2016。 


其 中 最 新 的 Windows Server 2016 级 别 拥有 AD DS 的 所 有 功能 。 您 可 以 提升 域 功能 级 别 ， 
例如 将 Windows Server 2012 R2 提 升 到 Windows Server 2016。 


区 区 区 区 区 


林 功 能 级 别 〈Forest Functionality Level) 


Active Directory 域 服务 (AD DS) 的 林 功 能 级 别 设置 ， 会 影响 到 该 森林 内 的 所 有 域 。 林 
功能 级 别 分 为 以 下 几 种 模式 ， 


Windows Server 2008: 域 控制 器 需 Windows Server 2008 或 更 新 版 本 。 
Windows Server 2008 R2: 域 控制 器 需 Windows Server 2008 R2 或 更 新 版 本 。 
Windows Server 2012: 域 控制 器 需 Windows Server 2012 或 更 新 版 本 。 
Windows Server 2012 R2: 域 控制 器 需 Windows Server 2012 R2 或 更 新 版 本 。 
Windows Server 2016: 域 控 制 器 需 Windows Server 2016。 


其 中 ，Windows Server 2016 级 别 拥有 AD DS 的 所 有 功能 。 您 可 以 提升 林 功 能 等 级 ， 例 如 
将 Windows Server 2012 R2 提 升 到 Windows Server 2016。 
表 6-1-2 中 列 出 每 一 个 林 功 能 级 别 所 支持 的 域 功能 级 别 。 


表 6- 
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万 于 和 < 全 和 三 大 PER 公 2SR 让 Er 
TPR 1 让 过 下 锭 : 和 
训 人 人 让 天 sg， 人 : 
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Ra 站 * 

,局 | 局 了 | [ 臣 二 全 1 
和 二 全 从 下 


Windows Server2008 Windows Server 2008 、Windows Server 2008 R2、Windows Server 
2012、Windows Server 2012 R2、Windows Server 2016 


二 Windows Server 2016 系统 配置 指南 


这 TO 


rm 5 2008 R2、 0 二 2012、 ER 和 
人 2012 R2、Windows Server 2016 
Windows Servet 2012 区 玫 0 Server 2012、Windows Server 2012 R2 、Windows Server 


Windows Server 2012 R2 Windows Server 2012 R2、Windows Server 2016 
Windows Server 2016 Windows Server 2016 


AD DS 数 据 库 被 逻辑 地 分 为 以 下 几 个 目录 分 区 : 


习 


架构 目录 分 区 (Schema Directory Partition ) : 它 存 储 着 整个 林 中 所 有 对 象 与 属性 
的 定义 数据 ， 也 存储 着 如 何 建立 新 对 象 与 属性 的 规则 。 整 个 林内 所 有 域 共享 一 份 相 
同 的 架构 目录 分 区 ， 它 会 被 复制 到 林 中 所 有 域 的 所 有 域 控制 器 。 

配置 目录 分 区 (Configuration Directory Partition ) : 它 存 储 着 整个 AD DS 的 结构 ， 
例如 有 哪些 域 、 有 哪些 站 点 、 有 哪些 域 控制 器 等 信息 。 整 个 林 共 享 一 份 相同 的 配置 
目录 分 区 ， 它 会 被 复制 到 林 中 所 有 域 的 所 有 域 控制 器 。 

域 目录 分 区 (Domain Directory Partition ) : 每 一 个 域 各 有 一 个 域 目 录 分 区 ， 其 中 
存储 着 与 该 域 有 关 的 对 象 ， 例 如 用 户 、 组 与 计算 机 等 对 象 。 每 一 个 域 各自 拥 有 一 份 
域 目 录 分 区 ， 它 只 会 被 复制 到 该 域内 的 所 有 域 控制 器 ， 但 并 不 会 被 复制 到 其 他 域 的 
域 控制 器 。 

应 用 程序 目录 分 区 (Application Directory Partition ) : 一 般 来 说 ， 应 用 程序 目录 分 
区 是 由 应 用 程序 所 建立 的 ， 其 中 存储 着 与 该 应 用 程序 有 关 的 数据 。 例 如 由 Windows 
Server 2016 扮 演 的 DNS 服务 器 ， 如 果 所 建立 的 DNS 区 域 为 Active Directory 集 成 区 域 
的 话 ， 则 它 便 会 在 AD DS 数 据 库 内 建立 应 用 程序 目录 分 区 ， 以 便 存 储 该 区 域 的 数 
据 。 应 用 程序 目录 分 区 会 被 复制 到 林 中 的 特定 域 控制 器 ， 而 不 是 所 有 的 域 控制 器 。 


6.2 建立 Active Directory 域 


我 们 利用 图 6-2-1 来 介绍 如 何 建立 第 1 个 林 中 的 第 1 个 域 〈 根 域 ) 。 建 立 域 的 方式 是 先 安装 
一 台 Windows 服 务 器 〈 此 处 以 Windows Server 2016 Datacenter 为 例 ) ， 然 后 将 其 升级 为 域 控制 
器 。 我 们 也 将 搭建 此 域 的 第 2 台 域 控制 器 〈Windows Server 2016 Datacenter) 、 一 台 成 员 服 务 
器 〈Windows Server 2016 Datacenter) 与 一 台 加 入 域 的 Windows 10 企 业 版 计算 机 。 建 议 利用 
Windows Server 2016 Hyper-V 所 提供 的 虚拟 机 来 搭建 图 6-2-1 中 的 网 络 环境 。 
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第 1 台 域 控制 器 


和 、 第 2 台 域 控制 器 
SerVer2.S8yInS.]jocal 


中 前 大 TIp:192.168.8.2/24 
:192.168.8.1 “本 
0 一 下 DNS:192.168.8.1 


加 入 域 的 Windows10 
,local 


ww、winl0pcl 
IP:192.168.8.4/24 
1 DNS:192.168.8.1 


卫 :192.168.8.3/24 
DNS:192.168.8.1 


图 62-! 


我 们 先 要 将 图 6-2-1 左 上 和 角 的 服务 器 升级 为 域 控 制 器 。 在 建立 第 一 台 域 控制 器 
serverl.sayms.local 时 ， 它 就 会 同时 建立 此 域 控制 器 所 隶属 的 域 sayms.local， 也 会 建立 域 
sayms.local 所 隶属 的 域 树 ， 而 域 sayms,local 也 是 此 域 树 的 根 域 。 由 于 是 第 一 个 域 树 ， 因 此 它 同 
时 会 建立 一 个 新 林 ， 林 名 称 就 是 第 一 个 域 树 的 根 域 的 域名 ， 也 就 是 sayms.local。 域 sayms.local 

， 就 是 整个 林 的 林 根 域 。 


1. 若 要 将 现 有 域 升 级 的 话 ， 则 林 中 的 域 控制 器 都 必须 是 Windows Server 2008 ( 含 ) 以 
上 的 版 本 ， 而 且 需 要 先 分 别 执行 Adprep /forestprep 与 Adprep /domainprep 命 令 来 进行 林 
与 域 的 准备 工作 ， 此 脚本 文件 位 于 Windows Server 2016 光 盘 supportvadprep 文 件 夹 。 其 


他 升级 步骤 与 2.2 节 相同 。 


. 若 要 在 现 有 域内 安装 Windows Server 2016 域 控制 器 的 话 ， 也 需要 先 执行 域 准备 工作 ， 
不 过 这 个 操作 安装 程序 会 自动 执行 。 


在 将 Windows Server 2016 升 级 为 域 控制 器 前 ， 请 注意 以 下 事项 : 


涪 DNS 域名 : 请 事先 为 AD DS 域 准备 一 个 符合 DNS 格式 的 域名 ， 例 如 sayms.local。 
DNS 服务 器 : 由 于 域 控制 器 需要 将 自己 注册 到 DNS 服务 器 内 ， 以 便 让 其 他 计算 机 通 
过 DNS 服务 器 来 找到 这 台 域 控制 器 ， 因 此 需 有 一 台 可 支持 AD DS 的 DNS 服务 器 ， 也 
就 是 它 必 须 支 持 Service Location Resource Record (SRV RR ) 、 且 最 好 支持 动态 更 新 
(dynamic update ) 。 若 现在 没有 可 支持 AD DS 的 DNS 服务 器 ， 则 您 可 以 在 升级 过 程 
中 选择 在 这 人 台 即 将 升级 为 域 控 制 器 的 服务 器 上 安装 DNS 服务 器 。 
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AD DS 需 要 一 个 SYSVOL 文 件 夹 来 存储 域 的 共享 文件 ( 例如 与 组 策略 有 关 的 文件 ) ， 该 
文件 夹 必须 位 于 NTFS 磁 盘 ， 系 统 默认 是 将 其 建立 在 系统 磁盘 ( 安装 Windows Server 
2016 的 磁盘 ， 它 是 NTFS 磁 盘 ) 。 若 要 将 其 更 改 到 其 他 磁盘 ， 则 该 磁盘 需 为 NTFS 磁 盘 。 
您 可 以 将 现 有 的 FAT 或 FAT32 磁 盘 转换 为 NTFS 磁 盘 , 【选中 左下 角 开 始 图 标 田 右 击 信 命 
令 提 示 字 】， 然 后 执行 以 下 命令 ( 假设 要 转换 D: 磁 盘 ) ， 

CONVERT D: /FS:NTFS 

若 该 磁盘 目前 有 任何 文件 正在 使 用 中 的 话 ， 系 统 无 法 立刻 执行 转换 工作 ， 此 时 可 从 提示 
界面 中 选择 下 次 重新 启动 时 再 自动 转换 。 


我 们 将 通过 添加 服务 器 角色 的 方式 ， 将 图 6-2-1 中 左上 角 的 服务 器 serverl,sayms.local 升 级 】 
为 域 控制 器 。 


STEP 回 先 将 这 全 计算 机 的 计算 机 名 设置 为 serverl，IPv4 地 址 等 设置 如 图 6-2-1 所 示 ( 可 取 
消 勾 选 TCP/IPv6 ) 。 注 意 将 计算 机 名 设置 为 serverl 即 可 ， 等 升级 为 域 控制 器 后 ， 
其 计算 机 名 会 自动 被 改 为 serverl.sayms.localo 

STEP 加 ”打开 服务 器 管理 器 ， 如 图 6-2-2 所 示 单 击 仪表 板 处 的 添加 角色 和 功能 。 


图 62-2 


STEP 回 。 持续 单 击 国 扩 钮 一 直到 图 6-2-3 中 勾 选 Active Directory 域 服务 、 单 击 国 洒洒 四 


按钮 来 安装 所 需要 的 其 他 功能 。 


辆 ;ao 
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瑟 添加 角色 和 功能 向 导 ES 
选择 服务 器 角色 R 

有 远 择 要 安装 在 所 选 阴 务 号 上 的 一个 或 多 个 角色 . 
安装 类 型 角色 
服务 器 选择 口 ve 世 yy 汪 eenESvicas 丑 

口 Active Directory 联合 身份 验证 本 务 
人 | “ 口 Active Directory 经 本 目录 服务 

| 加 ve pveaew 二 

AD D5 口 Active Directory 证 书 服务 
和 口 bhcp 服务 时 

口 bNs 配 多 器 

图 62-3 


STEP 四 。 持续 单 击 读 轴 拉 钮 一 直到 确认 安装 选项 界面 中 单 击 库 辆 按钮 。 
STEP 回 。 图 6-2-4 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控制 器 。 


若 在 图 6-2-4 中 直接 单 击 岗 国 按 钮 ， 则 之 后 要 将 其 提升 为 域 控制 器 的 话 ， 请 如 图 6-2-5 所 
示 单 击 服务 器 管理 器 上 方 旗帜 符号 、 单 击 将 此 服务 器 提升 为 域 控 制 器 。 


图 62-5 


十 Windows Server 2016 系统 配置 指南 


STEP 回 。 如 图 6-2-6 所 示 选 择 添加 新 林 、 设 定 林 根 域名 ( 假设 是 saymslocal ) 、 单 击 状 呈 下 全 
钮 。 


STEP 加 完成 图 6-2-7 中 的 设 定 后 单 击 庆 各 加 拉锯 
沁 选择 林 功 能 级 别 、 域 功能 级 别 。 
此 处 选择 的 林 功 能 等 级 为 Windows Server 2016， 此 时 域 功能 级 别 只 能 选择 Windows 
Server 2016。 若 选择 其 他 林 功 能 级 别 的 话 ， 则 可 以 选择 其 他 域 功 能 级 别 。 
默认 会 直接 在 此 服务 器 上 安装 DNS 服务 器 。 
第 一 台 域 控制 器 必须 扮演 全 局 编 录 服 务 器 的 角色 。 
第 一 台 域 控制 器 不 能 是 只 读 域 控制 器 (RODC ) 。 
设置 目录 服务 还 原 模式 的 密码 。 
目录 服务 还 原 模式 (目录 服务 修复 模式 ) 是 一 个 安全 模式 ， 进 入 此 模式 可 以 修复 AD DS 
数据 库 。 可 以 在 系统 启动 时 按 国 键 来 选择 此 模式 ， 不 过 必须 输入 此 处 所 设置 的 密码 。 


和 妃 Active Directory 域 服务 筷 寺 向 导 


域 控制 器 选项 


区 区 区 区 


[eeeess 


[aeeesee 


图 62-7 
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密码 默认 需 至 少 7 个 字符 ， 不 能 包含 用 户 账户 名 称 ( 指 用户 SamAccountName ) 或 全 
名 ， 还 有 至 少 要 包含 A~Z、a~z、0~9、 非 字母 字符 ( 例如 !、$、#、% ) 等 4 组 字符 中 的 3 
组 ， 例 如 123abcABC 为 有 效 密码 ， 而 1234567 为 无 效 密码 。 


STEP 加 “出现 图 6-2-8 的 警告 界面 时 ， 因 为 当前 不 会 有 影响 ， 所 以 不 必 理 会 它 ， 直 接 单 击 
1 国 天 拉 钮 。 DNS 服务 器 的 相关 说 明 可 参考 《Windows Server 2016 网 络 管理 与 架 
站 》 这 本 书 。 


图 62-8 


STEP 加 ”在 图 6-2-9 中 会 自动 为 此 域 设置 一 个 NetBIOS 名 称 ， 也 可 以 更 改 此 名 称 。 若 此 
NetBIOS 名 称 已 被 占用 ， 安 装 程序 会 自动 分 配 一 个 建议 名 称 。 完 成 后 单 击 谓 和 量 护 
钮 s 


默认 的 NetBIOS 名 称 为 DNS 域名 第 1 个 句点 左边 的 字符 ， 例 如 DNS 域名 为 sayms.local， 则 
NetBIOS 名 称 为 SAYMS ( 不 支持 DNS 域名 的 Windows 98 等 旧 系 统 ， 可 以 通过 NetBIOS 名 
称 来 与 此 域 通信 ) s 


图 62-9 


STEPEm 在 图 6-2-10 中 可 直接 单 击 请 乓 扩 钮 ， 
阅 数据 库 文 件 央 : 用 来 存储 AD DS 数 据 库 。 
阅 日 志文 件 文件 天 : 用 来 存储 AD DS 数 据 库 的 更 改 上 日志， 此 日 志文 件 可 用 来 修复 AD 
DS 数 据 库 。 
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习 SYSVOL 文 件 天 : 用 来 存储 域 共享 文件 (例如 组 策略 相关 的 文件 ) 。 


指定 AD DS 笋 据 库 、 日 志文 件 和 SYSVOL 的 位 置 
[CAwindows\NNTDS 
CNWindowsNTDS 
CANWindowsNSYSVOL 


图 62-10 


若 计算 机 内 有 多 块 硬盘 ， 建 议 将 数据 库 与 日 志文 件 文件 天 分 别 设置 到 不 同 硬盘 内 ， 
因为 两 块 硬盘 分 别 运行 可 以 提高 工作 效率 ， 而 且 分 开 存储 可 以 避免 两 份 数 据 同时 出 
现 问题 ， 以 提高 修复 AD DS 数 据 库 的 能 力 。 
STEP g 在 查看 选项 界面 中 单 击 大 时 按 钮 。 
STEP 人 加 。 在 图 6-2-11 的 界面 中 ， 如 果 顺 利通 过 检查 ， 可 以 直接 单 击 茵 鳃 按钮 ， 否 则 请 根据 界 
面 提示 先 排除 问题 。 安 装 完成 后 会 自动 重新 启动 计算 机 。 


域 控制 器 会 将 自己 所 扮演 的 角色 注册 到 DNS 服务 器 ， 以 便 让 其 他 计算 机 能 够 通过 DNS 服 
务 器 来 找到 这 人 台 域 控制 器 ， 因 此 我 们 先 来 检查 DNS 服务 器 内 是 否 已 经 有 这 些 记录 。 利用 域 系 


国 1 
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统管 理 员 〈SAYMS\Administrator) 登录 。 


检查 主机 记录 


首先 来 检查 域 控制 器 是 否 已 将 其 主机 名 与 卫 地 址 注册 到 DNS 服务 器 内 。 到 同时 也 是 DNS 
服务 器 的 计算 机 serverl.sayms.local 上 【 单 击 左下 角 开 始 标 困 S3Windows 管理 工具 
23DNS】， 如 图 6-2-12 所 示 应 该 会 有 一 个 名 称 为 sayms.local 的 区 域 ， 图 中 的 主机 〈A) 记录 表 
示 域 控制 器 serverl.sayms.local 已 经 正确 地 将 其 主机 名 与 耳 地 址 注册 到 DNS 服务 器 内 。 
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如 果 域 控制 器 已 经 正确 将 其 所 扮演 角色 注册 到 DNS 服务 器 ， 则 应 该 还 会 有 如 图 6-2-12 所 
示 的 trp、_udp 等 文件 夹 。 在 单 击 tcp 文 件 夹 后 可 以 看 到 图 6-2-13 所 示 的 界面 ， 其 中 数据 类 型 
为 服务 位 置 (SRV) -的 ldap 记 录 ， 表 示 serverl.sayms.local 已 经 正确 地 注册 为 域 控制 器 。 由 图 
6-2-13 中 的 _gc 记 录 还 可 以 看 出 全 局 编 录 服务 器 的 角色 也 是 由 serverl.sayms.local 所 扮演 的 。 


忘 DNS 管理 器 
文件 (D 。 损 作 (A) 查看 (V) ”帮助 (H) 
和 中 | 自 国 | 其 国 加 了 | 占 问 | 让 目 章 
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DNS 区 域内 有 这 些 数 据 后 ， 其 他 要 加 入 域 的 计算 机 就 可 以 通过 此 区 域 来 得 知 域 控 制 器 为 
serverl.saymas.]ocal。 这 些 加 入 域 的 成 员 《〈 域 控制 器 、 成 员 服务 器 、Windows 10 等 客户 端 ) 也 
会 将 其 主机 与 卫 地 址 数据 注册 到 此 区 域内 。 


排除 注册 失败 的 问题 


若 因 为 域 成 员 计算 机 本 身 的 设置 有 误 或 存在 网 络 问题 ， 造 成 它们 无 法 将 数据 注册 到 DNS 
服务 器 ， 则 可 以 在 问题 解决 后 ， 重 新 启动 这 些 计算 机 或 利用 以 下 方法 来 手动 注册 : 


当 落 是 某 域 成 员 计 算 机 的 主机 名 与 了 了 地 址 没有 正确 注册 到 DNS 服务 器 ， 此 时 可 到 计算 
机 上 执行 ipconfig /registerdns 来 手动 注册 。 完 成 后 ， 到 DNS 服务 器 检查 是 否 存 在 正 
确 的 记录 ， 例 如 域 成 员 主机 名 为 serverl.sayms.local，IP 地 址 为 192.168.8.1， 则 检查 
saymas.local 区 域内 是 否 有 serverl 的 主机 (A) 记录 、 其 IP 地 址 是 否 为 192.168.8.1。 

浊 阁 发 现 域 控 制 器 并 没有 将 其 所 扮演 的 角色 注册 到 DNS 服务 器 中 ， 也 就 是 并 没有 类 似 ， 
图 6-2-13 的 tcp 等 文件 天 与 相关 记录 时 ， 请 到 这 台 域 控制 器 上 利用 【 单 击 左 下 角 开 始 “ 
图 标 困 人 Windows 管理 工具 仿 服 务 人 如 图 6-2-14 所 示 选 中 Netlogon 服 务 后 右 击 驴 重新 
启动 〗】 的 方式 来 注册 。 


一 个 域内 若 有 多 台 域 控制 器 的 话 ， 便 可 以 拥有 以 下 好 处 ; 


当 改善 用 户 登 录 的 效率 : 同时 有 多 台 域 控制 器 来 对 客户 端 提 供 服 务 的 话 ， 可 以 分 担 审 
核 用 户 登 录 身 份 (账户 与 密码 ) 的 负担 ， 向 用 户 提供 更 高 的 登录 效率 。 

浊 宛 余 功 能 : 当 有 域 控制 器 故障 时 ， 仍 然 能 够 由 其 他 正常 的 域 控制 器 来 继续 提供 服 
务 ， 因 此 对 客户 端的 服务 并 不 会 停止。 


我 们 将 通过 添加 服务 器 角色 的 方式 来 将 图 6-2-15 中 右上 角 的 服务 器 server2.sayms.local 升 
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轿 角 为 域 控制 器 


第 1 人 台 域 控制 器 


& DNS 服务 器 二 入 2 丰 汪 全 罗 汪 


SerVerl.sayms.local 国 汪 
IP:192.168.8.1/24 号 卫 :192.168.8.2124 
DNS:192.168.8.1 DNS:192.168.8.1 


六 8. 本 
DNS:192.168.8.1 


若 server2 虚 拟 机 所 使 用 的 虚拟 硬盘 与 其 他 域 成 员 计 算 机 所 使 用 的 虚拟 硬盘 都 是 从 同一 
虚拟 硬盘 复制 来 的 ， 则 建立 好 server2 虚 拟 机 后 ， 需 再 执行 sysprep.exe ( 参见 5. 4 带 最 
STEP @ 到 的 说 明 ) ， 以 便 拥有 唯一 的 SID 等 设置 。 


STEP 回 先 将 该 台 计 算 机 的 计算 机 名 称 设 置 为 server2，IPv4 地 址 等 设置 如 图 6-2-15$ 所 示 ( 可 
取消 勾 选 TCP/IPv6 ) 。 注 意 将 计算 机 名 设置 为 server2 即 可 ， 等 升级 为 域 控制 器 
后 ， 其 计算 机 名 称 自动 会 被 改 为 server2.sayms.local。 


。 STEP 加 ”打开 服务 器 管理 器 ， 如 图 6-2-16 所 示 单 击 仪表 板 处 的 添加 角色 和 功能 。 


醒 所 有 了 骤 务 器 | 
二 便 瑟 置 此 本 地 服务 器 
| 下 测 响 名和 ?能 
| 3 ， 添加 要 管理 的 其 他 服务 器 
图 62-16 


STEP 回 持续 单 击 请 国有 按 钮 一 直到 出 现 图 6-2-17 的 界面 时 勾 选 Active Direetory 域 服务 ， 单 


国友 简 :ea。 
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本 添加 角色 和 功能 内 导 
选择 服务 器 角色 
开始 之 前 选 笃 要 安装 在 所 选 睛 务 器 上 的 一 个 或 多 个 角色 . 
安装 类 型 角色 
服务 路 选择 口 Active Directory Rights Managernent Services 
日 Aaive pyeaon 
功能 口 Active 径 型 目录 服务 
AD DS 口 Active Directory 证 书 服务 
确认 | 口 DHCP 服务 里 
话 | [| DNS 服务 器 
图 6-2-17 


STEP 四 。 持续 单 击 员 和 计 坟 钮 一 直到 确认 安装 所 选 内 容 界面 时 单 击 功 漳 按 钮 。 
STEP 回 。 图 6-2-18 为 完成 安装 后 的 界面 ， 请 单 击 将 此 服务 器 提升 为 域 控制 器 。 
| 本 添 h0 角 色 和 功能 内 导 


安装 进度 RS 


62-18 


如 果 在 图 6-2-18 中 直接 单 击 山 国 按 钮 ， 之 后 要 将 其 升级 为 域 控制 器 ， 可 以 单 击 图 6-2-19 
中 服务 器 管理 器 右上 方 旗帜 符号 、 单 击 将 此 服务 器 提升 为 域 控 制 器 。 


| 康 PEBE 旺 下 王浆 


5 了 二 HR 


图 6-2-19 


STEP 回 。 在 图 6-2-20 中 选择 将 域 控制 器 添加 到 现 有 域 、 输 入 域名 sayms.local、 单 击 国 油 按 钮 
后 输入 有 权限 添加 域 控 制 器 的 账户 ( sayms\ Administrator ) 与 密码 。 完 成 后 单 击 


国 轨 st. 
国 1as 
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只 有 Enterprise Admins 或 Domain Admins 内 的 用 户 有 权限 创建 其 他 域 控制 器 。 如 果 当 前 所 
登录 的 账户 不 是 隶属 于 这 两 个 组 ( 例如 现在 登录 的 账户 为 本 地 Administrator ) ， 则 需要 
如 前 景 图 所 示 另 外 指定 有 权限 的 用 户 账户 。 


LSTEP 加 。 完成 图 6-2-21 中 的 设置 后 单 击 国 国 汪 拉 钮 

选择 是 否 在 此 服务 器 上 安装 DNS 服务 器 (默认 勾 选 ) 。 

选择 是 否 将 其 设置 为 全 局 编 录 服务 器 (默认 义 选 ) 。 

选择 是 否 将 其 设置 为 只 读 域 控制 器 (默认 不 勺 选 ) 。 

设置 目录 服务 还 原 模 式 (目录 服务 修复 模式 ) 的 系统 管理 员 密 码 ( 见 6.2.2 小 节 
STEP 贺 中 注意 处 的 说 明 ) 。 


区 区 区 区 
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STEP 回 ”出现 图 6-2-22 的 警告 提示 时 ， 因 为 目前 不 会 有 影响 ， 故 不 必 理 会 它 ， 直 接 单 击 


图 62-22 


STEP 回 ”在 图 6-2-23 中 单 击 庆 有 放 扶 钮 ， 它 会 直接 从 其 他 任何 一 台 域 控制 器 ( 当前 只 有 | 


server1.sayms.local ) 来 复制 Active Directory ( 图 中 的 “从 介质 安装 ”， 可 参考 
《Windows Server 2016 Active Directory 配 置 指 南 》 这 本 书 ) 。 
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STEPEO。 在 图 6-2-24 中 可 直接 单 击 蛮 用 汪 拉 包 : 
涪 数据 库 文 件 央 : 用 来 存储 AD DS 数 据 库 。 
站 日 志文 件 文件 天 : 用 来 存储 AD DS 的 更 改 日 志 ， 此 日 志文 件 可 用 来 修复 AD DS 数 据 
库 。 
站 SYSVOL 文 件 夹 : 用 来 存储 域 共享 文件 (例如 组 策略 相关 的 文件 ) 。 


指定 AD DS 数据 库 、 日 志文 件 和 SYSVOL 的 位 置 
数据 库 文 件 夹 (Dj CNWindows\WNTDS 
| ”日志 文件 文件 夹 (D: 
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STEP 加。 在 查看 选项 界面 中 单 击 靖国 辐 按钮 。 
STEP 吉 在 图 6-2-25 界 面 中 ， 若 顺利 通过 检查 的 话 ， 就 直接 单 击 咽 国 按 钮 ， 否 则 请 根据 界面 
提示 先 排除 问题 。 


于 14 
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LSTEPEB 安装 完成 后 会 自动 重新 启动 。 需 要 重新 登录 。 
STEPE3 检查 DNS 服务 器 内 是 否 有 这 全域 控制 器 server2.sayms.local 的 相关 记录 ， 其 说 明 可 
参考 前 面 6.2.3 小 节 检 查 DNS 服 务 器 内 的 记录 是 否 完整 。 


6.3 将 Windows 计 算 机 加 入 或 脱离 域 


Windows 计 算 机 加 入 域 后 ， 便 可 以 访问 AD DS 数 据 库 与 其 他 域 资源 ， 例 如 用 户 可 以 在 这 
。 些 计算 机 上 利用 域 用 户 账 户 来 登录 域 ， 并 利用 此 域 用 户 账户 来 访问 域内 其 他 计算 机 内 的 资 
源 。 以 下 是 可 以 被 加 入 域 的 计算 机 ; 


Windows Server 2016 Datacenter/Standard 

Windows Server 2012 (了 R2 ) Datacenter/Standard. 

Windows Server 2008 (R2 ) DatacenterEnterprise/Standard 
Windows 10 Enterprise/Pro/Education 

Windows 8.1 (8 ) Enterprise/Pro 

Windows 7 Ultimate/ Enterprise/Professional 

Windows Vista Ultimate/Enterprise/Business 


区 区 区 CC 区 区 


我 们 要 将 图 6-3-1 左 下 角 的 服务 器 server3 加 入 域 ， 假 设 它 是 Windows Server 2016 
Enterprise; 同时 也 要 将 右 下 角 的 Windows 10 Enterprise 计 算 机 加 入 域 。 以 下 步骤 利用 图 中 左 
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下 角 的 服务 器 server3 (Windows Server 2016) 来 说 明 。 


STEP 


STEP 加 
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人 第 2 人 台 域 控制 器 
Server2.Sayms.local 


了 :192.168.8.1/24 JP:192.168.8.2/24 


DNS:192.16881 攻关 半 和 Se DNS:192.168.8.1 


人 Windows1l0 
Sayms.local 
DNS:192.168.8.1 


成 员 服务 器 
SerVer3.Sayms.loca 


卫 :192.168.8.3/24 
DNS:192.168.8.1 


图 63-1 


先 将 该 台 计 算 机 的 名 称 设置 为 server3 ，IPv4 地 址 等 设置 如 图 6-3-1 中 所 示 。 注 意 计 
算 机 名 称 设 置 为 server3 即 可 ， 等 加 入 域 后 ， 人 自动 会 被 改 为 
Server3.Sayms.local。 

打开 服务 器 管理 器 纪 单 击 左 侧 本 地 服务 器 人 如 图 6-3-2 所 示 单 击 工作 组 处 的 
WORKGROUP。 
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若是 Windows 10 计 算 机 的 话 : 【打开 文件 资源 管理 器 Q 选 中 此 电脑 后 右 南 驴 必 性 
单 击 右 侧 的 更 改 设置 】〗】。 

若是 Windows 8.1 计 算 机 的 话 :- 【切换 到 开始 菜单 (可 按 Windows 键 疆 ) 纪 单 击 开始 菜 
单 左下 方 辆 符号 纪 选中 计算 机 后 右 击 纺 单 击 下 方 的 属性 人 单 击 右 侧 的 更 改 设置 】. 
若是 Windows 8 计算 机 的 话 : 【 按 恒 键 切换 到 开始 菜单 纺 选 中 空白 处 后 右 击 仿 单 击 所 
有 应 用 人 选中 计算 机 右 击 人 单 击 下方 属 性 3...】〗】. 

若是 Windows 7 与 Windows Vista 的 话 : 【开始 人 选中 计算 机 后 右 击 仿 属 性 纺 单 击 右 下 
角 的 更 改 设置 】。 
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因为 Windows Vista ( 含 ) 之 后 的 系统 默认 已 经 启用 用 户 账户 控制 ， 所 以 如 果 不 是 本 地 系 


统管 理 员 的 话 ， 系 统 会 先 要 求 输入 本 地 系统 管理 员 的 密码 。 


srEP 回 。 单 击 图 6-33 中 的 七 测 塘 鱼 。 


 STEP 四 选择 图 6-3-4 中 的 域 3 输 入 域名 sayms.local3 单 击 调 测 技 钮 2 输入 域内 任意 一 个 用 户 


账户 与 密码 ( 此 账户 需要 隶属 于 Domain Users 组 ) ， 图 中 利用 Administrator 义 单 击 
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如 果 出 现 错误 警告 的 话 ， 请 检查 TCP/IPv4 的 设置 是 否 正 确 ， 尤 其 是 首选 DNS 服务 器 的 
IPv4 地 址 是 否 正 确 ， 以 本 示例 来 说 应 该 是 192.168.8.I。 


STEP 回 。 出 现 图 6-3-5 的 界面 表示 已 经 成 功 地 加 入 域 ， 也 就 是 说 此 计算 机 的 计算 机 账户 已 纪 
被 建立 在 AD DS 数 据 库 内 ， 单 击 山 辆 按钮 。 


如 果 出 现 错误 警告 ， 请 检查 所 输入 的 账户 名 称 与 密码 是 否 正 确 ， 注 意 不 一 定 需要 使 用 域 
系统 管理 员 账 户 ， 您 可 以 输入 AD DS 数 据 库 内 其 他 任何 一 个 用 户 账 户 与 密码 ， 不 过 普通 
用 户 只 能 在 AD DS 数 据 库 内 最 多 加 入 10 台 计算 机 ( 建立 最 多 10 个 计算 机 账户 ) 。 


STEP 回 出现 提醒 需要 重新 启动 计算 机 的 界面 时 单 击 轩 普 按钮。 
STEP 贺 _ 回 到 图 6-3-6， 可 以 看 出 ， 加 入 域 后 ， 其 完整 计算 机 名 称 的 后 缀 就 会 附加 上 域名 ， 
如 server3.sayms.local， 单 击 辆 测 技 钮 。 


| Windows 使 用 以 下 信息 在 网 络 中 标识 这 台 计 算 机 。 


WiEEEEREESEEE 光 


人: "TS production Server 或 "Accounting 
Server 


图 636 


STEP 回 ”按照 界面 提示 重新 启动 计算 机 。 
STEP 回 ”请 自行 将 图 6-3-1 中 的 Windows 10 计 算 机 加 入 域 。 
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这 些 被 加 入 域 的 计算 机 账户 会 被 建立 在 Computers 容 器 内 。 


6.3.2 利用 已 加 入 域 的 计算 机 登录 
您 可 以 在 已 经 加 入 域 的 计算 机 上 利用 本 地 或 域 用 户 账户 来 登录 。 


利用 本 地 用 户 账户 登录 


出 现 如 图 6-3-7 所 示 的 登录 界面 时 ， 默 认 是 利用 本 地 系统 管理 员 Administrator 的 身份 登 
因此 只 要 输入 本 地 Administrator 的 密码 就 可 以 登录 。 

此 时 系统 会 利用 本 机 安全 数据 库 来 检查 账户 与 密码 是 否 正确 ， 如 果 正 确 ， 就 可 以 登录 成 
功 ， 也 可 以 访问 此 计算 机 内 的 资源 《如 果 有 权限 的 话 ) ， 但 是 无 法 访问 域内 其 他 计算 机 的 资 
源 ， 除 非 在 连接 其 他 计算 机 时 另外 再 输入 有 权限 的 用 户 名 称 与 密码 。 


六 


下 


Administrator 


图 6-3-7 
利用 域 用 户 账户 登录 


若 要 改 用 域 系统 管理 员 Administrator 身 份 登录 的 话 汪 单 击 图 6-3-8 中 左下 方 的 其 他 用 户 
2 输入 域 系统 管理 员 的 账户 〈saymsvadministrator) 和 密码 进行 登录 】。 


图 63-8 
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注意 账户 名 称 前 面 需要 添加 域名 ， 例 如 sayms.local\Administrator 或 sayms\Administrator， 
此 时 账户 名 称 与 密码 会 被 传递 给 域 控制 器 ， 并 利用 AD DS 数 据 库 来 检查 账户 名 称 与 密码 是 否 
正确 ， 如 果 正 确 ， 就 可 以 成 功 登 录 ， 而 且 可 以 直接 连接 域内 任何 一 台 计 算 机 ， 访 问 其 中 的 资 
源 〈 如 果 已 经 被 赋予 权限 的 话 ) ， 不 需要 再 另外 手动 输入 用 户 名称 与 密码 。 


6.3.3 


际 二 做 革 长 办 间 过 和 下 滞 省 站 于 交 


本 SETTTCOEETCESSRDDRA RE 
生生 让 ， 二 让 和 二 


需要 域 Enterprise Admins、Domain Admins 成 
员 或 本 地 Administrator 才 有 权利 将 计算 机 脱离 域 。 
因为 Windows 系 统 默认 已 启用 用 户 账 户 控制 ， 所 
以 如 果 没有 权限 执行 脱离 域 的 工作 系统 会 要 求 
输入 账户 与 密码 。 

脱离 域 的 方法 与 加 入 域 的 方法 大 同 小 异 ， 以 
Windows Server 2016 来 说 ， 其 方法 也 是 通过 【 打 
开 服 务 器 管理 器 3 单 击 左 侧 本 地 服务 器 人 单 击 右 
侧 域 处 的 sayms.local3 单 击 国 油 按钮 3 单 击 图 6-3- 
9 中 的 工作 组 纺 输入 适当 的 工作 组 名 称 后 单 击 男 国 
按钮 2 出现 欢迎 加 入 工作 组 界面 时 单 击 叶 出 扩 钮 | ae 
2 重新 启动 计算 机 】。 之 后 在 这 台 计 算 机 上 就 只 | CEAN 
能 够 利用 本 地 用 户 账户 来 登录 ， 无 法 再 利用 域 用 | 民 
户 账户 登录 。 这 些 计算 机 脱离 域 后 ， 原 本 在 AD 
DS 的 Computers 容 器 内 的 计算 机 账户 会 被 禁用 《〈 计 
算 机 账户 图 标 会 多 一 个 向 下 的 箭头 ) 。 


6.4 管理 Active Directory 域 用 户 账 户 


可 以 在 Windows Server 2016 计 算 机 上 通过 以 下 两 个 工具 来 管理 域 账户 ， 例 如 用 户 账户 、 
组 账户 与 计算 机 账户 等 : 


站 Active Directory 用 户 和 计算 机 : 它 是 以 前 在 Windows Server 2008 等 系统 中 就 已 经 提 
供 的 传统 的 管理 工具 。 
党 Active Directory 管 理 中 心 : 这 是 从 Windows Server 2008 R2 开 始 提供 的 新 的 管理 工 
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具 。 以 下 尽量 通过 Active Directory 管 理 中 心 来 进行 说 明 。 


| 第 6 章 建立 Active Directory 域 于 
| 
| 


这 两 个 工具 默认 只 存在 于 域 控制 器 ， 可 以 通过 【 单 击 左下 角 开 始 图 标 困 人 Windows 管理 工 


晤 2>Aetive Direetory 管 理 中 心 或 Aetive Direetory 用 户 和 计算 机 】 的 方法 来 执行 它们 。 以 我 们 的 


实验 环境 来 说 ， 请 到 域 控 制 器 serverl1 或 server2 计 算 机 上 执行 它们 ， 如 图 6-4-1 与 图 6-4-2 所 示 。 


Acive Directory 管理 中 心 


本 Domain Controllers 组 织 秆 位 Deftauk container for do 属性 
月 全 则 失 家 本 “Foreign5eauriyprincipals 窑 蜂 和 5ayms (本 地 ) 和 
国 Infrastructure infrastruct… Y 更 改 域 控 制 器 
Buittin 入 提升 林 功 能 级 别 一 
图 64-1 
园 Active Directory 用 疡 和 计算 机 一 口 X 


TI 
和 史 | 雪 国志 自 | 其 国 回 苇 | 加 本 | 久久 外 守 是 入 

四 Active Directory 用 户 和 计算 机 
》 器 保存 的 查询 


虑 Allowed RODC password Re-， 安 全 组 - 本 地 域 


》 淹 Builin 是 cert Publishers 安全 组 - 本 地 域 “此 组 的 成 员 被 允许 发 布 .。 
ee 趾 cloneable Domain Controlle.， 安 全 组 - 全 局 可 以 这 隆 此 组 中 作为 域 _ 

由 Re 条 怒 DefauhAccount 用 户 系统 答 理 的 用 户 帐户 
-. 中 间 汪 全 < 和 守 人 存 Deried RODCc password Re.。 安全 组 - 本 地 域 、 不 允许 格 此 组 中 成 员 的 .。 
苛 医 苦 哑 DnsAdmins 安全 组 - 本 地 域 ”DNS Administrators 组 
中 pnsupdatepromy 安全 组 - 全 局 。。 允许 营 其 他 客户 污 D-. 


> || 中 Demain Admins 安全 组 - 全 局 。。 措 定 的 域 管理 员 


图 6-4.2 


在 服务 器 Serverl 还 没有 被 升级 成 为 域 控制 器 之 前 ， 原 来 位 于 本 地 安全 数据 库 内 的 本 地 账 
户 会 在 升级 后 被 转移 到 AD DS 数 据 库 内 ， 放 置 到 Users 容 器 内 ， 而 且 这 人 台 域 控制 器 的 计算 机 账 
户 会 被 放置 到 Domain Controllers 组 织 单位 内 ， 其 他 加 入 域 的 计算 机 账户 默认 会 被 放置 到 
Computers 容 器 内 。 

只 有 在 建立 域内 的 第 1 台 域 控制 器 时 ， 该 服务 器 原来 的 本 地 账户 才 会 被 移动 到 AD DS 数 据 
库 ， 其 他 域 控制 器 《例如 本 范例 中 的 Server2) 原来 的 本 地 账户 并 不 会 被 移动 到 AD DS 数 据 库 中 。 


6.4.2 其 他 成 员 计算 机 内 的 Active Directory 管 理工 具 


非 域 控制 器 的 Windows Server 2016、Windows Server 2012 (R2) 、Windows Server 2008 
(R2) 等 成 员 服务 器 与 Windows 10、Windows 8.1 (8) 、Windows 7 等 客户 端 计 算 机 中 默认 
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并 没有 管理 AD DS 的 工具 ， 例 如 Acetive Directory 用 户 及 计算 机 、Aetive Directory 管 理 中 心 
等 ， 不 过 可 以 另外 安装 。 


Windows Server 2016、Windows Server 2012 (CR2) 成 员 服 务 器 


Windows Server 2016、Windows Server 2012 (R2) 成 员 服务 器 可 以 通过 添加 角色 和 功能 
的 方式 来 获取 AD DS 管 理工 具 : 【打开 服务 器 管理 器 纪 单 击 仪表 板 处 的 添加 角色 和 功能 忆 持 
续 单 击 吴 国 轴 按钮 一 直到 出 现 图 6-4-3 的 选择 功能 界面 时 勾 选 远程 服务 器 管理 工具 下 的 AD DS 
和 AD LDS 工 具 】， 安 装 完成 后 可 以 到 开始 菜单 的 Windows 管理 工具 〈 管 理工 具 ) 来 执行 这 
些 上 具 ; 


4 国 远 怎 卫 务 闵 答 要 工具 
功能 管理 工具 
包 管 理 二 只 


Windows Server 2008 R2、Windows Server 2008 成 员 服 务 器 


Windows Server 2008 R2、Windows Server 2008 成 员 服 务 器 可 以 通过 添加 功能 的 方式 来 获 
取 AD DS 管 理工 具 : 【打开 服务 器 管理 器 单 击 功能 右 侧 的 添加 功能 Q 匀 选 图 6-4-4 中 远程 服 
务 器 管理 工具 之 下 的 AD DS 和 AD LDS 工 具 】， 安 装 完成 后 可 以 到 管理 工具 来 执行 这 些 工 
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Windows 10、Windows 8.1、Windows 8 


| Windows 10 计 算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Lindows 10 (Windows 10 远 程 服务 器 管理 工具 ) ， 安 装 完成 后 可 通过 【 单 击 左下 角 开 始 图 标 
局 windows 管 理工 具 】 来 使 用 Acetive Directory 管 理 中 心 与 Active Directory 用 户 和 计算 机 等 工 
限 。 
Windows 8.1 计 算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 8.1 (Windows 8.1 远程 服务 器 管理 工具 ) ， 安 装 完成 后 可 通过 【 按 Windows 键 导 切 
换 到 开始 菜单 2 单 击 菜单 左下 方 圈 图 案 2 管 理工 具 】 来 使 用 Active Direetory 管 理 中 心 与 
Acetive Directory 用 户 和 计算 机 等 工具 。 
Windows 8 计算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 8 〈(Windows 8 远程 服务 器 管理 工具 ) ， 安 装 完成 后 可 通过 【 按 Windows 键 习 切 换 到 
开始 菜单 纺 管 理工 具 】 来 使 用 这 些 工 具 。 


Windows 7 


Windows 7 计算 机 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for 
Windows 7 with SP1 〈Windows 7 SP1 远 程 服务 器 管理 工具 ) ， 安 装 完成 之 后 通过 【开始 2 控 
制 面 板 纺 单 击 程序 2 单 击 打开 或 关闭 Windows 功 能 2 匀 选 图 6-4-5 中 远程 服务 器 管理 工具 下 的 
Active Directory 管 理 中心 】。 完 成 之 后 ， 就 可 以 在 【开始 人 管理 工具 】 中 使 用 Active 
Directory 管 理 中 心 与 Active Direetory 用 户 和 计算 机 等 工具 。 


田 贺 县 Active Directory 证 书 服务 工具 
日 画 副 AD Ds 和 AD LDS 工具 
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6.4.3 建立 组 织 单位 OU) 和 域 用 户 账户 “ NO 


可 以 将 用 户 账户 建立 到 任何 一 个 容器 或 组 织 单位 内 。 下 面 将 先 建 立 一 个 名 称 为 业务 部 的 
组 织 单位 ， 然 后 在 此 组 织 单位 内 建立 域 用 户 账 户 。〔〈 通 过 Active Directory 管 理 中 心 来 说 
明 。? 


STEP 大 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 人 Active Directory 管 理 中 心 纺 在 图 6-4-6 中 
选中 域名 sayms ( 本 地 ) 后 右 击 人 新 建 仿 组 织 单位 。 


STEP 回 。 如 图 6-4-7 所 示 在 名 称 字段 输入 业务 部 后 单 击 基 出 按钮。 


创建 组 织 单位 : 业务 部 


组 织 单位 (0) 组 织 单位 
管理 者 (B) 


图 64-7 


STEP 图 ”如 图 6-4-8 所 示 选 中 业务 部 组 织 单位 后 右 击 信 新 建 2 用 户 。 
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STEP 四 。 在 图 6-4-9 中 输入 以 下 数据 后 单 击 革 如 扩 钮 : 
SN 名字、 姓氏 与 全 名 等 数据 。 
习 用 户 UPN 登 录 : 用 户 可 以 使 用 这 个 邮箱 格式 的 名 称 (george@sayms.local ) 来 登录 
域 ， 此 名 称 被 称 为 User Principal Name ( UPN ) 。 整 个 林内 ， 此 名 称 必 须 是 唯一 的 。 
站 用 户 SamAccountName 登 录 : 用 户 也 可 利用 此 名 称 (sayms\george ) 来 登录 域 ， 其 中 
sayms 为 NetBIOS 域 名 。 同 一 个 域内 ， 此 登录 名 称 必 须 是 唯一 的 。 
密码、 确认 密码 与 密码 选项 等 说 明 与 4.2 节 相同 ， 请 自行 前 往 参 考 。 


域 用 户 的 密码 默认 至 少 需要 7 个 字符 ， 且 不 能 包含 用 户 账 户 名 称 ( 指 | 用 户 
SamAccountName | ) 或 全 名 ， 还 有 至 少 要 包含 A~Z、a~z、0~9、 非 字母 字符 ( 例如 !、 
$、#、% ) 等 4 组 字符 中 的 3 组 ， 例 如 123abcABC 为 有 效 密码 ， 而 1234567 为 无 效 密码 。 
若 要 更 改 此 默认 值 的 话 ， 请 参考 第 11 章 的 说 明 。 


防止 意外 删除 : 如 果 勾 选 此 选项 的 话 ， 此 账户 将 无 法 被 删除 。 
妆 账户 过 期 : 用 来 设置 账户 的 有 效 期 限 ， 黑 认为 永久 有 效 。 


忆 口 X 
创建 用 户 : 王 乔 治 [Ex 
#PW | 帐户 OoeS 目 
和 || .二 畔 这 购 有 下 
成 员 们 中卫 各 攻守 弛 晴 写 :| 口 结束 日 基 
密码 设置 (5) | 二 蛇 
axrn 趟 wan 15 Er 一 
用 FSamaccount sayms \ 末 9eome 回 交互 式 吉 录 寺 移 要 Microsoft passport 吉 放 上 
接收 器 后 二 到 不 过 则 

和 司 用 户 不 朋 要 必 半 三 
确认 二 到 加 
施 寻 位置: DU= 业 反攻 DC=sayms DC=|ocal 更 改 _ 其 他 运 斋 , 
器 防 目 章 外 吕 防 
本 洒 小 时 -本 呆 到 _ 
组 织 国 因 四 
PE 
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我 们 将 利用 刚才 建立 的 域 用 户 账户 〈george) 来 测试 登录 域 的 操作 。 到 域内 任何 一 台 非 
域 控制 器 的 计算 机 上 来 登录 域 ， 例 如 Windows Server 2016 成 员 服 务 器 或 巨 加 入 域 的 Windows 
10 计 算 机 。 


普通 用 户 账户 默认 无 法 在 域 控制 器 上 登录 ， 除 非 另 外 开放 ( 参考 下 一 小 节 ) 。 


在 登录 界面 中 ， 单 击 界面 左下 方 的 其 他 用 户 久 如 图 6-4-10 所 示 输 入 域名 \ 用 户 账 户 名 称 
(sayms\george) 与 密码 ， 也 可 以 如 图 6-4-11 所 示 输 入 UPN 名 称 《〈george@sayms.local) 与 密码 


图 64-10 


图 64-11 
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如 果 是 利用 Hyper-V 来 搭建 测试 环境 ， 并 且 启 用 了 增强 会 话 模式 〈 参 见 第 5$ 章 图 5$-3-16 的 
相关 说 明 ) ， 则 域 用 户 在 域 成 员 计算 机 上 需要 被 加 入 到 本 地 Remote Desktop Users 组 内 ， 否 则 
无法 登录 ， 且 会 有 图 6-4-12 或 图 6-4-13 的 提示 界面 。 


图 64-12 


图 64-13 


可 以 通过 以 下 方法 来 将 域 用 户 加 入 到 本 地 Remote Desktop Users 组 : 【在 域 成 员 计 算 机 单 
击 左 下 角 开 始 图 标 困 2Windows 管理 工具 叉 计 算 机 管理 纺 系 统 工具 久 本 地 用 户 和 组 纺 组 
23...】， 如 图 6-4-14 所 示 ， 图 中 假设 是 将 Domain Users 加 入 Remiote Desktop Users 组 。 


Remote Desktop Users 层 性 7 藉 


常 规 


中 
如 Remote Desktop Users 


撕 述 (Ej: | 此 组 中 的 成 员 术 所 远 各 登录 的 权限 一 


成 员 (M): 


(由 SAYMS\Domain Users 


| 
| 


图 64-14 
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除了 域 Administrators 等 少数 组 内 的 成 员外 ， 其 他 普通 域 用 户 账户 默认 无 法 在 域 控制 器 上 
登录 ， 除 非 另 外 开放 。 


赋予 用 户 在 域 控制 器 登录 的 权限 


一 般 用 户 必 须 在 域 控制 器 上 拥有 允许 本 地 登录 的 权限 ， 才 可 以 在 域 控制 器 上 登录 。 此 权 
限 可 以 通过 组 策略 来 开放 : 到 任何 一 台 域 控制 器 上 通过 【【 单 击 左下 角 开 始 图 标 田 QWindows 
管理 工具 人 组 策略 管理 Q 展 开 林 : sayms.local 人 2 展开 域 纺 展开 sayms.local 人 展开 Domain 
Controllers 纺 如 图 6-4-15 所 示 选 中 Default Domain Controllers Policy 后 右 击 人 编辑】。 


接着 在 图 6-4-16 中 【双击 计算 机 配置 处 的 策略 写 Windows 设 置 2 安全 设置 2 本 地 策略 3 用 
户 权限 分 配 3 双 击 右 侧 允 许 本 地 登录 2 单 击 涡 唱和 关 有 天 按钮】， 然 后 将 用 户 或 组 加 入 到 列 
表 中 。 


习 组 第 赂 管理 综 乌 器 
文件 (各 作 (A) 查看 (V) 。 大助 (H}) 


6416 


接着 需 等 待 设置 值 被 应 用 到 域 控制 器 后 才 会 生效 ， 而 应 用 的 方法 有 以 下 3 种 方式 : 


国 15 


第 6 章 建立 Active Directory 域 蜀 


站 将 域 控 制 器 重新 局 动 。 

外 等 待 域 控制 器 自动 应 用 此 新 策略 设置 ， 可 能 需要 等 待 5 分 钟 或 更 久 。 

浊 手动 应 用 : 到 域 控制 器 上 执行 gpupdate 或 gpupdate /force。 

可 以 到 已 经 完成 应 用 的 域 控 制 器 上 ， 利 用 前 面 所 建立 的 新 用 户 账户 来 测试 是 否 可 以 正常 
登录 (如果 无 法 登录 ， 请 参考 本 小 节 中 的 排除 登录 问题 ) 。 


多 台 域 控制 器 的 情况 


如 果 域 内 有 多 人 台 域 控制 器 ， 则 所 设置 的 安全 设置 值 是 先 被 存储 到 扮演 PDC 操 作 主 机 角色 
的 域 控制 器 内 ， 而 它 默认 是 由 域内 的 第 1 台 域 控制 器 所 扮演 的 。 可 以 通过 【 单 击 左下 角 开 始 
| 图 标 田 QWindows 管 理工 具 人 Active Directory 用 户 和 计算 机 驴 选 中 域名 sayms.local 后 右 击 仿 操 
| 作 主 机 驴 打 开 如 图 6-4-17 的 PDC 选 项 卡 】 的 方法 来 查看 PDC 操 作 主 机 是 哪 一 台 域 控制 器 〈 例 


如 Server1.Ssayms.local) 。 


图 6417 


附注 杷 


也 可 以 使 用 Netdom Query FSMO 命 令 来 查询 。 


需要 等 配置 值 从 PDC 操 作 主 机 复制 到 其 他 域 控制 器 后 ， 它 们 才 会 应 用 这 些 设置 值 。 什 么 
时 候 这 些 设置 值 会 被 复制 到 其 他 域 控制 器 呢 ? 它 分 为 以 下 两 种 情况 : 


站 自动 复制 : PDC 操 作 主 机 默认 是 1$ 秒 后 会 自动 将 其 复制 出 去 ， 因 此 其 他 域 控制 器 可 
能 需要 等 15 秒 或 更 久 才 会 接收 到 此 设置 值 。 

站 手动 复制 : 到 任何 一 台 域 控制 器 上 通过 【【 单 击 左下 角 开 始 图 标 困 令 Windows 管理 工 
具 人 Active Directory 站 点 和 服务 3SitesQDefault-First-Site- Name 人 Servers 人 选择 接收 
设置 值 的 域 控制 器 3NTDS Settings 义 如 图 6-4-18 所 示 选 中 扮演 PDC 操 作 主机 角色 的 服 
务 器 后 右 击 仿 立即 复制 〗】， 图 中 假设 SERVER1 是 PDC 操 作 主 机 、SERVER2 是 接收 设 
置 值 的 域 控制 器 。 
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基本 上 ， 同 一 个 站 点 内 的 域 控制 器 之 间 每 隔 15 秒 自动 复制 ， 不 需要 手动 复制 ， 除 非 发生 
特殊 情况 ， 或 是 希望 不 同 站 点 之 间 的 域 控制 器 能 够 立刻 复制 ， 才 有 需要 采用 手动 复制 。 


而 向 Active Directory 站 点 和 服务 
_ 文 # 人 ”可 fFA) 将 看 V) 可 MIH 
和 哆 | 疝 剧 | 其 国 回 轧 | 回 团 | 吾 


vY 园 .Default-First-Site-Name 
Y 血 Servers 
> 上 明 SERVER1 


当 利用 Active Directory 管 理 中 心 或 Active Directory 用 户 和 计算 机 添加 、 删 除 、 修 改 用 户 
账户 等 AD DS 内 的 对 象 时 ， 这 些 更 新 信息 会 先 被 存储 在 哪 一 台 域 控制 器 呢 ? 分 析 如 下 : 

若是 组 策略 设置 值 的 话 〈 例 如 允许 本 地 登录 的 权限 ) ， 它 是 先 被 存储 在 PDC 操 作 主 机 
中 ， 但 若是 AD DS 用 户 账户 或 其 他 对 和 象 有 变动 ， 则 这 些 变动 数据 会 先 被 存储 在 当前 所 连接 的 
域 控制 器 ， 同 时 系统 默认 会 在 15 秒 后 自动 将 这 些 更 新 数据 复制 到 其 他 域 控制 器 。 

如 果 要 查询 当前 所 连接 的 域 控 制 器 ， 可 如 图 6-4-19 所 示 在 Active Direetory 管 理 中 心 控制 
台中 将 鼠标 指针 移动 到 sayms〈 本 地 ) ， 它 就 会 显示 当前 所 连接 的 域 控制 器 ， 例 如 图 6-4-19 中 
所 连接 的 域 控制 器 为 Serverl1.sayms.local。 若 要 更 改 连接 其 他 域 控制 器 ， 单 击 右 侧 的 更 改 域 控 
制 器 。 


图 6-4-19 


如 果 使 用 Active Direcetory 用 户 和 计算 机 ， 则 可 以 从 图 6-4-20 来 查看 所 连接 的 域 控制 器 为 
serVerl.saymas.local 。 若 要 更 改 连接 到 其 他 域 控制 器 ， 通 过 工 选 中 图 6-4-20 中 的 Active 
Direetory 用 户 和 计算 机 〈serverl.sayms.local) 后 右 击 信 更 改 域 控 制 器 】 的 方法 。 
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| 园 Active Directory 用 户 和 计算 机 南 站 
文件 (操作 从 ) ”查看 (V) ”帮助 (H) 
EE3 页 | 司 | 自 | 国 四 对 | 四 男 | 六 丸和 莘 了 曙 妈 - 


ETEETZR ER | 


日 Active Directory 用 户 和 计算 dserver1 saymsjoca 修 六 | 名 称 类 型 呈 描述 枉 机 
一 nn | | 古 bakin buiktinDomain 
“本 rp 国 || 硬 computers 。 容 统 Default container 
则 in ， 
国 Domain Co_。 组 织 单位 Default container 
， 呈 Computers 加 KReiconk 客 器 ER 
-Damaimneanaia 本 冯 国 || 宇 Orelgn>e5.- etault contaliner 
0420 
] 旦 
排除 登录 问题 


当 在 域 控制 器 上 利用 普通 用 户 账户 登录 时 ， 若 出 现 如 图 6-4-21 所 示 | 不 允许 使 用 你 正在 
委 试 的 登录 方式 ……」 警告 界面 的 话 ， 表 示 此 用 户 账 户 在 这 台 域 控制 器 上 没有 被 赋予 允许 本 
地 登录 的 权限 ， 可 能 的 原因 是 尚未 被 赋予 此 权限 : 策略 设置 值 尚未 被 复制 到 此 域 控 制 器 、 尚 
未 应 用 ， 此 时 请 参考 前 面 所 介绍 的 方法 来 解决 问题 。 


图 64-21 


6.4.5 域 用 户 个 人 信息 的 设置 


每 一 个 域 用 户 账户 内 都 有 一 些 相 关 的 属性 数据 ， 例 如 地 址 、 电 话 、 电 子 邮 箱 等 ， 域 用 户 
可 以 通过 这 些 属 性 来 查找 AD DS 数 据 库 内 的 用 户 ， 例 如 可 以 通过 电话 号 码 来 查找 用 户 ， 因 此 
为 了 更 容易 找到 所 需 的 用 户 账 户 ， 这 些 属性 数据 越 完 整 越 好 。 

在 Acetive Directory 管 理 中 心 控制 台中 可 通过 双击 用 户 账 户 的 方式 来 输入 用 户 的 相关 数 
据 ， 如 图 6-4-22 所 示 在 组 织 页 面 处 可 以 输入 用 户 的 地 址 、 电 话 等 。 
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可 以 限制 用 户 的 登录 时 间 段 与 只 能 使 用 特定 的 计算 机 来 登录 域 ， 其 设置 方法 是 通过 单 击 
图 6-4-23 中 的 登录 小 时 … 与 登录 到 … 进 行 配置 的 。 


| 二 口 其 他 二 码 寺 项 ， 
| 用 PSamAceount .ayms 人事 george | 。 后 交 瑟 式 登录 时 村 要 Microsoft pacsport 或 和 用 二 


| 
| 


图 64-23 


单 击 图 6-4-23 的 登录 小 时 … 后 便 可 以 通过 图 6-4-24 进 行 设置 ， 图 中 横 轴 每 一 方块 代表 一 小 
时 ， 纵 轴 每 一 方块 代表 一 天 ， 填 满 的 方块 表示 允许 用 户 登 录 的 时 间 段 ， 空 白 方块 代表 该 时 间 
段 不 允许 登录 ， 默 认 是 开放 所 有 时 间 段 。 选 好 时 间 段 后 通过 选择 允许 登录 或 拒绝 登录 来 允许 
或 拒绝 用 户 在 上 述 时 间 段 登录 。 
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加 章 这 
07 2 68 各个 
人 | | | 本 上 


| 图 64-24 


虱 算 机 名 称 可 为 NetBIOS 名 称 〈 例 如 win10pcl1) 或 DNS 名 称 〈 例 如 win10pcl.sayms.local) 。 


辐 ; 登录 到 


用 户 : 
此 用 户 可 以 登录 到 : 
吕 所 有 计算 机 


活 同 >>| | win1opcoOTsaymsJocal | 昼 降 (| 
计算 机 的 NetBIOS 或 域 | 
名 系统 {DNS) 名 称 | 


图 64-25 


16.5 管理 Active Directory 域 组 账户 


我 们 在 第 4 章 内 已 经 介绍 过 本 地 组 账户 ， 此 处 将 介绍 域 组 账户 。 


6.5.1 域内 的 组 类 型 
AD DS 的 域 组 分 为 以 下 两 种 类 型 : 
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当 安全 组 : 可 以 被 用 来 分 配 权限 ， 例 如 可 以 分 配 它 对 文件 具备 读 取 的 权限 ; 也 可 以 被 
用 在 与 安全 无 关 的 工作 上 ， 例 如 可 以 发 送 电子 邮件 给 安全 组 。 

浊 通信 组 : 被 用 在 与 安全 (权限 设 定 等 ) 无 关 的 工作 上 ， 例 如 可 以 给 通信 组 发 送 电子 
邮件 ， 但 是 无 法 给 通信 组 分 配 权 限 。 


可 以 将 现 有 的 安全 组 转换 为 通信 组 ， 反 之 亦 然 。 


从 组 的 使 用 范围 来 看 ， 域 内 的 组 可 分 为 三 种 〈 见 表 6-5-1) : 域 本 地 组 〈domain local 
group) 、 全 局 组 〈global group) 、 通 用 组 〈universal group) 。 


域 本 地 组 
它 主要 是 被 用 来 分 配 其 对 所 属 域内 资源 的 权限 ， 以 便 可 以 访问 该 域内 的 资源 。 


习 其 成 员 可 以 包含 任何 一 个 域内 的 用 户 、 全 局 组 、 通 用 组 ; 也 可 以 包含 相同 域内 的 域 
本 地 组 ; 但 无 法 包含 其 他 域内 的 域 本 地 组 。 1 

沾 域 本 地 组 只 能 够 访问 该 域内 的 资源 ， 无 法 访问 其 他 不 同 域内 的 资源 ; 换 句 话说 当 谈 
置 权 限时 ， 只 能 设置 相同 域内 的 域 本 地 组 的 权限 ， 无 法 设置 其 他 不 同 域内 的 域 本 地 | 
组 的 权限 。 


全 局 组 


它 主 要 是 用 来 组 织 用 户 ， 也 就 是 可 以 将 多 个 即将 被 赋予 相同 权限 的 用 户 账户 加 入 到 同一 
个 全 局 组 内 。 


浊 全 局 组 内 的 成 员 ， 只 能 包含 相同 域内 的 用 户 与 全 局 组 。 

站 全 局 组 可 以 访问 任何 一 个 域内 的 资源 ， 也 就 是 说 可 以 在 任何 一 个 域内 设置 全 局 组 的 
权限 〈 这 个 全 局 组 可 以 位 于 任何 一 个 域内 ) ， 以 便 能 让 此 全 局 组 具备 权限 来 访问 该 
域内 的 资源 。 


通用 组 
它 可 以 在 所 有 域内 被 设置 权限 ， 以 便 访问 所 有 域内 的 资源 。 


六 通用 组 具备 “万 用 领域 ”特性 ， 其 成 员 可 以 包含 林 中 任何 一 个 域内 的 用 户 、 全 局 
组 、 通 用 组 ， 但 是 它 无 法 包含 任何 一 个 域内 的 域 本 地 组 。 

涪 通用 组 可 以 访问 任何 一 个 域内 的 资源 ， 也 就 是 说 可 以 在 任何 一 个 域内 设置 通用 组 的 
权限 (这 个 通用 组 可 以 位 于 任何 一 个 域内 ) ， 以 便 让 此 通用 组 具备 访问 该 域内 资源 
的 权限 。 


圈 1eo 
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表 6-5-1 


只 要 原 组 内 的 成 员 不 要 原 组 不 隶属 于 任何 - 二 wish 娄 各 ,要 大 


新 建 域 组 的 方法 为 : 【 单 击 左下 角 开 始 图 标 田 Q2Windows 管理 工具 人 Active Directory 管 理 
中 心 纺 单 击 域名 〈 例 如 图 6-5-1 中 的 sayms) 驴 单 击 任意 容器 或 组 织 单位 〈 例 如 业务 部 ) 纪 单 击 


| 右 侧 的 新 建 2 组 】。 


熙 Active Directory 念 理 中 


图 6-5-1 


然后 在 图 6-$-2 中 输入 组 名 、 输 入 可 供 旧 版 操作 系统 访问 的 组 名 〈SamAccountName) 、 
选择 组 使 用 范围 与 组 类 型 等 。 


若 要 删除 组 : 江 选中 组 账户 后 右 击 纺 删除 】。 域 用 户 账 户 与 组 账户 也 都 有 唯一 的 安全 标 
识 符 ( security identifier，SID ) ，SID 的 说 明 请 参考 4.2 节 。 
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创建 级 和 组 区 忆 区 忆 


图 65-2 


若 要 将 用 户 、 组 等 加 入 到 组 中 ， 可 通过 【如 图 6-5-3 所 示 单 击 成 员 节点 右 侧 的 咽 删 按钮 3 


高 级 纺 立 即 查找 2 选择 被 加 入 的 成 员 〈 按 评 员 或 关键 可 同时 选择 多 个 账户 ) 3 单 击 病 出 护 ， 
钮 】。 


图 65-3 


AD DS 有 许多 内 置 组 ， 分 别 隶 属于 域 本 地 组 、 全 局 组 、 通 用 组 与 特殊 组 。 
内 置 的 域 本 地 组 


这 些 域 本 地 组 本 身 已 被 赋予 了 权限 ， 以 便 让 其 具备 管理 AD DS 域 的 能 力 。 只 要 将 用 户 或 


组 账户 加 入 这 些 组 内 ， 这 些 账 户 就 会 自动 具备 相同 的 权限 。 以 下 是 Builtin 容 器 内 常用 的 域 本 
地 组 。 


妆 Account Operators: 其 成 员 默 认可 在 容器 与 组 织 单位 内 新 建 /删除 /修改 用 户 、 组 与 计 
算 机 账户 ， 不 过 部 分 内 置 的 容器 例外 ， 例 如 Builtin 容 器 与 Domain Controllers 组 织 单 
位 ， 同 时 也 不 允许 在 部 分 内 置 的 容器 内 添加 计算 机 账户 ， 例 如 Users。 他 们 也 无 法 更 
改 大 部 分 组 的 成 员 ， 例 如 Administrators 等 。 
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妆 Administrators: 其 成 员 具 备 系统 管理 员 权 限 ， 他 们 对 所 有 域 控制 器 拥有 最 大 控制 
权 ， 可 以 执行 AD DS 管 理工 作 。 内 置 的 系统 管理 员 账 号 Administrator 就 是 此 组 的 成 
员 ， 而 且 无 法 将 其 从 此 组 内 删除 。 

此 组 默认 的 成 员 包 伟 Administrator、 全 局 组 Domain Admins、 通 用 组 Enterprise Admins 
二 

站 Backup Operators: 其 成 员 可 以 通过 Windows Server Backup 工 具 来 备份 与 还 原 域 控 
制 器 内 的 文件 ， 不 论 他 们 是 否 有 权限 访问 这 些 文件 。 其 成 员 也 可 以 将 域 控制 器 关 
机 。 

习 Guests: 其 成 员 无 法 永久 改变 其 桌面 环境 ,， 当 他 们 登录 时 ， 系 统 会 为 他 们 建立 一 个 
临时 的 用 户 配 置 文件 ， 而 注销 时 此 配置 文件 就 会 被 删除 。 此 组 默认 的 成 员 为 用 户 账 
户 Guest 与 全 局 群 组 Domain Guests。 

妆 Network Configuration Operators: 其 成 员 可 在 域 控制 器 上 执行 常规 的 网 络 配置 工 
作 ， 例 如 更 改 了 地址 ， 但 不 可 以 安装 、 删 除 驱 动 程序 与 服务 ， 也 不 能 执行 与 网 络 服 
务 器 设置 相关 的 工作 ， 例 如 DNS 与 DHCP 服 务 器 的 设置 。 

当 Performance Monitor Users: 其 成 员 可 以 监视 域 控 制 器 的 性 能 。 

Pre-Windows 2000 Compatible Access: 此 组 主要 是 为 了 与 旧 系 统 兼容 。 其 成 员 可 以 
读 取 AD DS 域 内 的 所 有 用 户 与 组 账户 。 其 默认 的 成 员 为 特殊 组 Authenticated Users。 

间 Print Operators: 其 成 员 可 以 管理 域 控制 器 上 的 打印 机 ， 也 可 以 将 域 控 制 器 关机 。 

当 _ Remote Desktop Users: 其 成 员 可 以 从 远程 计算 机 通过 远程 桌面 进行 登录 。 

妆 Server Operators: 其 成 员 可 以 备份 与 还 原 域 控制 器 内 的 文件 ; 锁定 与 解锁 域 控 制 
器 ; 将 域 控 制 器 上 的 硬盘 格式 化 ; 更 改 域 控 制 器 的 系统 时 间 ; 将 域 控制 器 关机 等 。 

Users: 其 成 员 仅 拥有 系统 使 用 的 基本 权限 ， 例 如 执行 应 用 程序 ， 但 是 他 们 不 能 修改 
操作 系统 的 配置 、 不 能 更 改 其 他 用 户 的 数据 、 不 能 将 服务 器 关机 。 此 组 默认 的 成 员 
为 全 局 组 Domain Users。 


内 置 的 全 局 组 


AD DS 内 置 的 全 局 组 本 身 并 没有 任何 的 权限 ， 但 是 可 以 将 其 加 入 具备 权限 的 域 本 地 组 ， 
或 另外 直接 给 全 局 组 分 配 权 限 。 这 些 内 置 的 全 局 组 位 于 容器 Users 中 。 下 面 列 出 常用 的 全 局 
组 : 


习 Domain Admins: 域 成 员 计 算 机 会 自动 将 此 组 加 入 其 本 地 组 Administrators 内 ， 因 此 
| Domain Admins 组 内 的 每 一 个 成 员 在 域内 的 每 一 台 计 算 机 上 都 具备 系统 管理 员 权 限 。 
此 组 默认 的 成 员 为 域 用 户 Administrator。 
| 


妆 Domain Computers: 所 有 的 域 成 员 计 算 机 ( 域 控制 器 除外 ) 都 会 被 自动 加 入 此 组 
内 。 

当 Domain Controllers: 域内 的 所 有 域 控制 器 都 会 被 自动 加 入 此 组 内 。 

习 Domain Users: 域 成 员 计 算 机 会 自动 将 此 组 加 入 其 本 地 组 Users 内 ， 因 此 Domain 
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Users 内 的 用 户 将 享有 本 地 组 Users 所 拥有 的 权限 ， 例 如 拥有 允许 本 地 登录 的 权限 。 此 
组 默认 的 成 员 为 域 用 户 Administrator， 而 以 后 新 建 的 域 用 户 账 户 都 自动 会 未 属于 此 
组 。 
妆 Domain Guests: 域 成 员 计 算 机 会 自动 将 此 组 加 入 本 地 组 Guests 内 。 此 组 默认 的 成 员 
为 域 用 户 账户 Guest。 
内 置 的 通用 组 


站 Enterprise Admins: 此 组 只 存在 于 林 根 域 ， 其 成 员 有 权 管 理 林内 的 所 有 域 。 此 组 黑 
认 的 成 员 为 林 根 域内 的 用 户 Administrator。 

习 Schema Admins: 此 组 只 存在 于 林 根 域 ， 其 成 员 具 备 管理 架构 ( schema ) 的 权限 。 
此 组 默认 的 成 员 为 林 根 域内 的 用 户 Administrator。 


内 置 的 特殊 组 
此 部 分 与 4.1 节 相同 ， 请 自行 前 往 参 考 。 


6.6 提升 域 与 林 功 能 级 别 


我 们 在 6.1 节 最 后 已 经 说 明了 域 与 林 功 能 各 级 别 ， 此 处 将 介绍 如 何 提升 现 有 的 功能 级 别 。 
可 以 通过 【 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 3Active Directory 管 理 中 心 纺 单 击 域名 
sayms《〈 本 地 ) 马 单 击 图 6-6-1 右 侧 的 提升 林 功 能 级 别 …. 或 提升 域 功能 级 别 .….】 的 方法 来 提升 
功能 级 别 。 


图 66-1 


也 可 以 通过 【 单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 Active Directory 域 和 信任 关系 
选 中 Active Directory 域 和 信任 关系 后 右 击 人 提升 林 功 能 级 别 】 或 【 单 击 左 下 角 开 始 图 标 
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国 3Windows 管理 工具 QActive Directory 用 户 和 计算 机 仿 选 中 域名 sayms.local 后 右 击 信 提升 域 
功能 级 别 】 的 方法 。 
| “参考 表 6-6-1 来 提升 域 功能 级 别 。 参 考 表 6-6-2 来 提升 林 功能 级 别 。 


上 表 6-6-1 


用 Ac 2 2 0 和 - 呈 站 2 2 
| Windows Server 2008 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 
| R2、Windows Server 2016 

Windows Server 2008 R2 Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 


Windows Server 2012 Windows Server 2012 R2、Windows Server 2016 
| Windows Server 2012 R2 Windows Server 2016 


表 6-6-2 


Egg 一 rm 
林 切 有 纹 : 器 
one 5 


Windows Server 2008 Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 
R2、Windows Server 2016 


TESTTORE 
这 些 升级 信息 会 自动 被 复制 到 所 有 的 域 控制 器 ， 不 过 可 能 需要 花费 15 秒 或 更 久 的 时 间 。 
为 了 让 支持 目录 访问 的 应 用 程序 可 以 在 没有 域 的 环境 中 享有 目录 服务 与 目录 数据 库 的 好 
处 ， 因 此 Windows Server 内 提供 了 Acetive Directory 轻 型 目录 服务 (Active Directory 
Lightweight Directory Services，AD LDS) ， 它 可 以 在 计算 机 内 建立 多 个 目录 服务 的 环境 ， 每 
一 个 环境 被 称 为 一 个 AD LDS 实 例 (Instance) ， 每 一 个 AD LDS 实 例 都 拥有 独立 的 目录 配 
旺 置 、 架 构 、 目 录 数 据 库 。 
安装 AD LDS 的 方法 为 【打开 服务 器 管理 器 纪 单 击 仪表 板 处 的 添加 角色 和 功能 2...3 在 选 
择 服务 器 角色 处 选择 Active Direcetory 轻 型 目录 服务 23…】， 之 后 就 可 以 通过 以 下 方法 来 建立 
AD LDS 实 例 : 【 按 Windows 键 习 切 换 到 开始 菜单 人 Windows 管 理工 具 QActive Directory 轻 型 
目录 服务 安装 向 导 】， 也 可 以 通过 【 按 Windows 键 图 切换 到 开始 菜单 3Windows 管 理工 具 
2ADSI 编 辑 器 】 来 管理 AD LDS 实 例 内 的 目录 配置 、 架 构 、 对 象 等 。 


有 TREE ETEETTIEFT7 EC 
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6.7 Active Directory 回 收 站 


ee 


Active Directory 回 收 站 〈Active Directory Recycle Bin) 可 以 快速 救 回 被 误 删 的 对 象 。 若 
要 启用 Active Directory 回 收 站 ， 林 与 域 功 能 级 别 需要 是 Windows Server 2008 R2 〈 含 ) 以 上 的 
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级 别 ， 因 此 林 中 的 所 有 域 控 制 器 都 必须 是 Windows Server 2008 R2 〈 含 ) 以 上 上。 若林 与 域 功能 
级 别 不 符合 要 求 ， 请 参考 前 一 节 的 说 明 来 提升 功能 级 别 。 注 意 ， 一 旦 启用 Active Directory 回 
收 站 ， 就 无 法 再 停 用 ， 域 与 林 功 能 级 别 也 都 无 法 再 被 降级 。 

启用 Active Directory 回 收 站 与 恢复 误 删 对 象 的 演练 步骤 如 下 所 示 。 


STEP 打开 Active Directory 管 理 中 心 人 如 图 6-7-1 所 示 单 击 左 侧 域名 sayms 仿 单 击 右 侧 的 启 
用 回收 站 。 


图 67-! 


sTEP 回 。 如 图 6-7-2 所 示 单 击 桂 恒 近 钮 。 


图 67-2 
STEP 回 。 在 图 6-7-3 单 击 欧 出 按 钮 后 按 国 键 刷新 界面 。 
Active Directory 管理 中 心 藉 


和 
站 D DS 已 开始 启用 此 林 的 回收 站 。 回 收 站 的 功能 不 可 靠 ,直至 该 林 中 的 
所 有 域 控 制 器 都 已 复制 回收 站 配置 更 改 。 


图 673 
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STEP 旧 


STEP 回 
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如 果 域 内 有 多 人 台 域 控制 器 或 有 多 个 域 ， 则 需 等 设置 值 被 复制 到 所 有 的 域 控 制 器 后 ， 
Active Directory 回 收 站 的 功能 才 会 完全 正常 。 


试 着 将 某 个 组 织 单位 ( 假设 是 业务 部 ) 删除 ;但 是 要 先 取 消 勾 选 防止 意外 删除 的 选 
项 : 如 图 6-7-4 所 示 选 中 业务 部 、 单 击 右 侧 的 属性 。 


图 674 
取消 勾 选 图 6-7-5 中 的 选项 后 单 击 药 呈 按 钮 2 选中 组 织 单位 业务 部 后 右 击 2 删除 2 单 


击 2 次 国 国 加 拉 钮 。 


业务 部 


组 织 单位 (0) 组 织 单 位 
管理 者 (B) 
扩展 (6) 


图 67-5 


接 下 来 通过 回收 站 来 恢复 组 织 单位 业务 部 ,双击 如 图 6-7-6 所 示 的 Deleted Objects 容 
器 。 
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四 Active Directory 管理 中 心 一 口 X 


as | Deeted obkecs 人 二 HB- : 


Windows PowerShell 历史 记录 O 
图 6.76 


fsharjun 11/1a8/20171- 
王 乔治 Ta/2017 1 


1 
证 让 


如 果 单 击 还 原 为 …， 则 可 以 选择 将 其 还 原 到 其 他 位 置 。 


STEP 回 ”组 织 单 位 业务 部 还 原 完 成 后 ， 接 着 继续 在 图 6-7-8 中 选择 原本 位 于 组 织 单位 业务 部 


图 67-8 
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STEP 回 ”利用 Active Directory 管 理 中 心 来 检查 组 织 单位 业务 部 与 用 户 账户 是 否 已 被 还 原 ， 而 
且 这 个 被 还 原 的 组 织 单位 与 账户 也 会 被 复制 到 其 他 的 域 控制 器 。 


6.8 删除 域 控制 器 与 域 


可 以 通过 降级 的 方式 来 删除 域 控 制 器 ， 也 就 是 将 AD DS 从 域 控制 器 删除 。 在 降级 前 请 先 
注意 以 下 事项 : 


外 若 域内 还 有 其 他 域 控制 器 存在 ， 则 它 会 被 降级 为 该 域 的 成 员 服务 器 ， 例 如 将 图 6-8-1 
中 的 server2.saymas.local 降 级 时 ， 由 于 还 有 另外 一 台 域 控制 器 serverl.sayms.local 存 

在 ， 故 server2.sayms.local 会 被 降级 为 域 sayms.local 的 成 员 服 务 器 。 人 必须 是 Domain 
Admins 或 Enterprise Admins 组 的 成 员 才 有 权限 删除 域 控制 器 。 

浊 若 这 台 域 控制 器 是 此 域内 的 最 后 一 台 域 控制 器 ， 例 如 假设 图 6-8-1 中 的 
SerVer2.Sayms.local 已 被 降级 ， 此 时 若 再 将 serverl.sayms.local 降 级 ， 则 域内 将 不 会 再 
有 其 他 域 控 制 器 存在 ， 故 域 会 被 删除 ， 而 Server1.saymas.local 也 ,会 被 降级 为 独立 服务 
器 。 


第 1 台 域 控制 器 SS、 第 2 台 域 控制 器 
SerVer2.S8yIms.local 

IJP:192.168.8.2/24 

DNS:192.168.8.1 


IJP:192.168.8.124 
DNS:192.168.8.1 


加 入 域 的 Windows10 
mwinl10pc1.sayms.local 


由 DNS:192.168.8.1 


了 P:192.168.8.3/2 
DNS:192.168.8.1 


建议 先 将 此 域 的 其 他 成 员 计 算 机 ( 例如 win10pc1.sayms.local、server2.sayms.local ) 脱离 
域 后 ， 再 将 域 删除 。 


必须 是 Enterprise Admins 组 的 成 员 ， 才 有 权限 删除 域内 的 最 后 一 台 域 控制 器 (也 就 是 
删除 域 ) 。 若 此 域 之 下 还 有 子 域 ， 请 先 删 除 子 域 。 
若 此 域 控制 器 是 全 局 编 录 服务 器 ， 检 查 其 所 属 站 点 (site ) 内 是 否 还 有 其 他 全 局 编 录 
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服务 器 ， 若 没有 的 话 ， 先 指派 另外 一 台 域 控制 器 来 扮演 全 局 编 录 服务 器 ， 否 则 将 影 
响 用 户 登 录 ， 指 派 的 方法 为 【 单 击 左下 角 开 始 图 标 困 人 Windows 管理 工具 令 Active 
Directory 站 点 和 服务 3Sites 人 Default-First-Site-Name 人 Servers 人 选择 服务 器 仿 选 中 
NTDS Settings 后 右 击 纺 属性 忆 匀 选 全 局 编 录 】. 

浊 若 所 删除 的 域 控制 器 是 林内 最 后 一 台 域 控制 器 则 林 会 一 并 被 删除 。Enterprise 
Admins 组 的 成 员 才 有 权限 删除 这 台 域 控制 器 与 林 。 


移 除 域 控制 器 的 步骤 如 下 所 示 : 
STEP 贺 ”打开 服务 器 管理 器 2 单 击 图 6-8-2 中 管理 菜单 下 的 删除 角色 和 功能 。 


2 添加 角色 和 功能 
3 添加 要 管理 的 其 他 服务 器 
图 68-2 


STEP 四 出现 开始 之 前 界面 时 单 击 谓 国 吕 扩 钮 。 


STEP 回 确认 在 选择 目标 服务 器 界面 中 的 服务 器 正确 后 中 单 击 靖国 按钮。 
STEP 在 图 6-8-3 中 取消 勾 选 Active Directory 域 服务 、 单 击 而 病 济 抽 扩 包 5 


从 出 除 角色 和 功能 向 导 去 2 ,本 树 
删除 服务 器 角色 an 


STEP 图 ， 出 现 图 6-8-4 的 界面 时 ， 单 击 将 此 域 控制 器 降级 。 


团 1 
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STEP 回 。 在 图 6-8-5 中 若 当前 的 用 户 有 权限 删除 此 域 控 制 器 ， 单 击 入 和 天 塘 钮 ， 否 则 单 击 
靖 技 钮 来 输入 新 的 账户 名 与 密码 。 


若 因 故 无 法 删除 此 域 控制 器 ( 例如 在 移 除 域 控制 器 时 ， 需 要 能 够 先 连接 到 其 他 域 控制 
器 ， 但 却 无 法 连接 到 ) ， 此 时 可 以 勾 选 图 中 的 强制 删除 此 域 控制 器 5 


若是 最 后 1 合 域 控制 器 ， 匀 选 图 6-8-6 中 域 中 的 最 后 一 个 域 控制 器 。 


STEP 加 。 在 图 6-8-7 中 义 选 继续 删除 后 单 击 调 请 加 扩 钮 。 
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图 68-7 


硬 国 st. 


STEP 回 在 图 6-8-9 中 为 这 全 即将 被 降级 为 独立 或 成 员 服 务 器 的 计算 机 设置 本 地 
Administrator 的 新 密码 后 单 击 病 畏 轴 按钮 。 


eeoeee Js 


图 68-9 


密码 默认 需 至 少 7 个 字符 ， 不 能 包含 用 户 账 户 名 称 或 全 名 ， 至 少 要 包含 A~Z、ar~z、 
0~9、 非 字母 字符 ( 例如 !、$、#、%%) 这 4 组 字符 中 的 3 组 ， 例 如 123abcABC 是 一 个 有 效 
的 密码 ， 而 1234567 是 无 效 的 密码 。 


STEP& 加 在 查看 选项 界面 中 单 击 盯 鲍 按钮 。 
STEPE 辐 完成 后 会 自动 重新 启动 计算 机 ， 请 重新 登录 。 


国 17> 


第 6 章 建立 Active Directory 域 二 


虽然 这 合 服务 器 已 经 不 再 是 域 控制 器 了 ， 不 过 此 时 其 Active Direetory 域 服务 组 件 仍然 存 
在 ， 并 没有 被 删除 ， 因 此 若 现在 要 再 将 其 升级 为 域 控制 器 ， 可 以 参考 图 6-2-4 下 面 附注 的 
说 明 。 


STEPE 加 继续 在 服务 器 管理 器 中 单 击 管理 菜单 下 的 移 除 角色 和 功能 。 
STEP 6 加。 出现 开始 之 前 界面 时 单 击 病 国 呈 拉锯 。 

STEP @ 四 确认 在 选择 目标 服务 器 界面 中 的 服务 器 无 误 后 中 单 击 读 拓 扩 钮 。 
STEP 上 在 图 6-8-10 中 取消 勾 选 Active Directory 域 服务 、 单 击 郑 渍 浏 国术 钮 。 


删除 服务 器 角色 


6-8-10 


STEPEG 回 到 删除 服务 器 角色 界面 时 ， 确 认 Active Directory 域 服务 已 经 被 取消 义 选 ( 也 可 以 

一 并 取消 义 选 DNS 服务 器 ) 后 单 击 国 国 加 坟 钮 。 
STEPEG。 出 现 删除 功能 界面 时 ， 单 击 庙 量 加 按钮 。 
STEP 四 。 在 确认 删除 选项 界面 中 单 击 闻 鱼 按钮 。 
STEP 轿 完成 后 ， 重 新 启动 计算 机 。 
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在 Windows Server 2016 的 文件 系统 中 ，NTFS 与 ReFS 磁 盘 提 供 了 很 多 的 安全 功能 ， 本 章 是 
将 针对 这 些 功能 做 详细 的 解说 。 


站 NTEFS 与 ReFS 权 限 的 种 类 2 
用 户 的 有 效 权 限 3 
权限 的 设置 

文件 与 文件 夹 的 所 有 权 

文件 复制 或 剪 切 后 的 权限 变化 
文件 的 压缩 

加 密 文件 系统 
BitLocker 磁 盘 驱动 器 加 密 

碎片 整理 与 检查 磁盘 错误 
磁盘 配额 


区 区 区 区 区 区 区 这 区 
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了 7.1 NTFS 与 ReFS 权 限 的 种 类 

用 户 必 须 对 磁盘 中 的 文件 或 文件 夹 拥有 适当 权限 后 ， 才 能 访问 这 些 资源 。 权 限 可 分 为 基 
本 权限 与 特殊 权限 ， 其 中 基本 权限 已 经 可 以 满足 常规 需求 ， 而 通过 特殊 权限 可 以 更 精细 地 来 
分 配 权限 。 


以 下 权限 仅 适 用 于 文件 系统 为 NTFS 与 ReFS 的 磁盘 ， 其 他 的 exFATsEFAT32 与 FAT 均 不 
具备 权限 功能 。 


站 读 取 : 它 可 以 读 取 文 件 内 容 、 查 看 文件 属性 与 权限 等 (可 以 通过 【打开 文件 资源 管 
理 器 人 选中 文件 后 右 击 仿 属 性 】 的 方法 来 查看 只 读 、 隐 藏 等 文件 属性 ) 。 

沁 写 入 : 它 可 以 修改 文件 内 容 、 在 文件 中 追加 数据 与 改变 文件 属性 等 《用 户 至 少 还 需 
要 具备 读 取 权 限 才 可 以 更 改 文件 的 内 容 ) 。 

| 习 读 取 和 执行 : 它 除了 具备 读 取 的 所 有 权限 外 ， 还 具备 执行 应 用 程序 的 权限 。 

修改 : 它 除 了 拥有 前 述 的 所 有 权限 外 ， 还 可 以 删除 文件 。 
站 完全 控制 : 它 拥 有 前 述 所 有 权限 ， 再 加 上 和 更改 权 限 与 取得 所 有 权 的 特殊 权限 。 


站 读 取 : 它 可 以 查看 文件 夹 内 的 文件 与 子 文件 志 名 称 、 查 看 文件 夹 属性 与 权限 等 。 

阅 写 入 :- 它 可 以 在 文件 夹 内 新 建文 件 与 子 文件 夹 : 改变 文件 夹 属性 等 。 

浊 列 出 文件 夹 内 容 : 它 除了 拥有 读 取 的 所 有 权限 之 外 ， 还 具备 有 遍历 文件 夹 的 权限 ， 
也 就 是 可 以 进出 此 文件 来。 

习 读 取 和 执行 : 它 与 列 出 文件 夹 内 容 相 同 ， 不 过 列 出 文件 天 内 容 权限 只 会 被 文件 夹 继 
承 ， 而 读 取 和 执行 会 同时 被 文件 夹 与 文件 继承 。 

站 修改 : 它 除了 拥有 前 述 的 所 有 权限 之 外 ， 还 可 以 删除 此 文件 夹 。 

妆 完全 控制 : 它 拥有 前 述 所 有 权限 ， 再 加 上 和 更改 权限 与 取得 所 有 权 的 特殊 权限 。 
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7.2 用 户 的 有 效 权 限 


当 针对 文件 夹 设 置 权限 后 ， 这 个 权限 默认 会 被 此 文件 夹 之 下 的 子 文件 夹 与 文件 继承 ， 例 如 
设置 用 户 A 对 甲 文件 夹 拥有 读 取 的 权限 ， 则 用 户 A 对 甲 文件 夹 内 的 文件 也 会 拥有 读 取 的 权限 。 
设置 文件 来 权限 时 ， 除 了 可 以 让 子 文件 夹 与 文件 都 继承 权限 之 外 ， 也 可 以 只 单独 让 子 交 | 
件 夹 或 文件 来 继承 ， 或 都 不 让 它们 继承 。 | 
而 设置 子 文件 夹 或 文件 权限 时 ， 可 以 让 子 文件 夹 或 文件 不 要 继承 父 文件 夹 的 权限 ， 如 此 
该 子 文件 夹 或 文件 的 权限 将 是 直接 针对 它们 设置 的 权限 。 


| 


如 果 用 户 同时 隶属 于 多 个 组 ， 且 该 用 户 与 这 些 组 分 别 对 某 个 文件 〈 或 文件 夹 ) 拥有 不 同 
的 权限 设置 时 ， 则 该 用 户 对 这 个 文件 的 最 后 有 效 权 限 是 所 有 权限 来 源 的 总 和 ， 例如 者 用 广 4 
同时 属于 业务 部 与 经 理 组 ， 且 其 权限 分 别 表 7-2-1 所 示 ， 则 用 户 A 最 后 的 有 效 权 限 为 这 3 个 权限 
的 总 和 ， 也 就 是 写 入 + 读 取 + 执 行 。 


虽然 用 户 对 某 个 文件 的 有 效 权限 是 其 所 有 权限 来 源 的 总 和 ， 但 只 要 其 中 有 一 个 权限 被 设 
置 为 拒绝 ， 则 用 户 将 不 会 拥有 访问 权限 。 例 如 若 用 户 A 同 时 属于 业务 部 与 经 理 组 ， 人 
分 别 如 表 7-2-2 所 示 ， 则 用 户 A 的 读 取 权 限 会 被 拒绝 ， 也 就 是 无 法 读 取 此 文件 。 


表 7-2-2 
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继承 的 权限 ， 其 优先 级 比 直接 设置 的 权限 低 ， 例 如 将 用 户 A 对 甲 文 件 夹 的 写 入 权限 设置 
为 拒绝 ， 当 甲 文件 夹 内 的 文件 继承 此 权限 时 ， 则 用 户 A 对 此 文件 的 写 入 权限 也 会 被 拒 
绝 ， 但 是 如 果 直 接 将 用 户 A 对 此 文件 的 写 入 权限 设置 为 允许 ， 此 时 因为 它 的 优先 级 高 ， 
所 以 用 户 A 对 此 文件 仍然 拥有 写 信 的 权限 。 


7.3 权限 的 设置 


系统 会 为 新 的 NTFS 或 ReFS 磁 盘 自 动 设置 默认 的 权限 值 ， 如 图 7-3-1 所 示 为 C: 磁 盘 
(NTFS) 的 默认 权限 ， 其 中 有 部 分 的 权限 会 被 其 下 层 的 子 文 件 夹 或 文件 继承 。 


若 要 将 文件 权限 分 配给 用 户 : 【 单 击 左下 方 文件 资源 管理 器 图 标 国 2 单 击 此 电脑 纺 展 开 
磁盘 驱动 器 选中 文件 后 右 击 纺 属 性 信安 全 选项 卡 】， 之 后 将 出 现 图 7-3-2 的 界面 〈 以 自行 建 
立 的 文件 夹 CNTest 内 的 文件 Readme 为 例 ) ， 图 中 的 文件 已 经 有 一 些 从 父 项 对 象 也 就 是 C; 
WTest) 继承 来 的 权限 ， 例 如 Users 组 的 权限 《灰色 勾 表示 为 继承 的 权限 ) 。 


只 有 Administrators 组 内 的 成 员 、 文 件 /文件 夹 的 拥有 者 、 具 备 完全 控制 权限 的 用 户 ， 才 有 
权利 来 设置 这 个 文件 /文件 夹 的 权限 。 以 下 步骤 假设 是 在 成 员 服务 器 Server3 上 的 操作 。 
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图 7-3-2 


若 要 将 权限 赋予 其 他 用 户 : 【 单 击 图 7-3-2 中 间 的 喷 鳃 按钮 2 单 击 图 7-3-3 背 景 图 中 的 
颖 别 扩 钮 2 通过 釉 国 按钮 来 选择 用 户 账户 的 来 源 〈 域 或 林地 用 户 ) 、 通 过 项 亚 按 钮 来 选择 用 
户 账户 2 立即 查找 人 从 列表 中 选择 用 户 或 组 】， 图 中 假设 已 经 选择 了 域 saymslocal 的 用 户 王 乔 
治 与 本 地 Server3 的 用 户 jackie。 


7-33 


图 7-3-4 为 完成 设置 后 的 界面 ， 王 乔治 与 Jackie 的 默认 权限 都 是 读 取 和 执行 与 读 取 ， 若 要 
修改 此 权限 ， 色 选 权 限 右 侧 的 允许 或 拒绝 复 选 框 即 可 。 
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[ 口 加 四 口 口 | 壮 


不 过 由 父 项 所 继承 的 权限 《例如 图 中 Users 的 权限 ) ， 不 能 直接 将 其 灰色 的 勾 取 消 ， 只 可 
以 增加 色 选 ， 例 如 可 以 增加 Users 的 写 入 权限 。 如 果 要 更 改 继承 的 权限 ， 例 如 Users 从 父 项 继 
承 了 读 取 权限 ， 则 只 要 色 选 该 权限 右 侧 的 拒绝 ， 就 会 拒绝 其 读 取 权 限 ， 又 例如 若 Users 从 父 项 
继承 了 读 取 被 拒绝 的 权限 ， 则 只 要 色 选 该 权限 右 侧 的 允许 ， 就 可 以 让 其 拥有 读 取 权 限 。 完 成 
图 7-3-4 中 的 设置 后 单 击 贡 出 按钮 。 


如 果 不 想 继承 父 项 权限 ， 例 如 不 想 让 文件 Readme 继 承 其 父 项 C:\Test 的 权限 : 【 单 击 图 
7-3-5 右 下 方 的 针 列 扩 钮 2 单 击 赤 请 一 主 按 钮 2 通过 前 景 图 来 选择 保留 原本 从 父 项 对 象 所 继承 
的 权限 或 删除 这 些 权限 】， 之 后 针对 CxTest 所 设置 的 权限 ， 文 件 Readme 都 不 会 继承 。 
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要 为 用 户 设置 文件 夹 权限 的 话 : 【 单 击 左下 方 文 件 资源 管理 器 图 标 国 2 单 击 此 电脑 3 展 
开 磁 盘 驱动 器 3 选中 所 选 文件 夹 后 右 击 2 属 性 安 全 选项 卡 】， 之 后 将 出 现 图 7-3-6 的 界面 ， 
〈 以 自行 建立 的 文件 夹 CATest 为 例 ) ， 图 中 文件 夹 已 经 有 一 些 从 父 项 〈C: 磁盘 ) 继承 的 权 
限 ， 例 如 Users 组 的 权限 。 文 件 夹 权 限 的 设置 方法 与 文件 权限 的 设置 方法 类 似 ， 因 此 相关 设置 
方法 请 参考 前 面 的 说 明 。 


前 面 所 叙述 的 是 基本 权限 ， 它 是 为 了 简化 权限 管理 而 设计 的 ， 满 足 了 常规 控制 需求 ， 隐 
此 之 外 还 可 以 利用 特殊 权限 来 更 精细 地 配置 权限 ， 以 便 满 足 各 种 不 同 的 需求 。 
我 们 以 文件 夹 的 特殊 权限 设置 来 说 明 ， 【在 类 似 图 7-3-6 上 单 击 右 下 方 转 现 按 钮 2 在 图 
7-3-7 中 选择 用 户 账 户 后 单 击 嗣 呈 按钮 3 单 击 右 侧 的 显示 高 级 权限 】《〔 若 在 图 7-3-7 中 未 出 现 


国王 坟 钮 ， 而 是 功 济 护 钮 的 话 ， 需 要 先 单 击 村 半 锯 漳 拉 钮 ) 。 


中 若 色 选 使 用 可 从 此 对 象 继承 的 权限 项 目 蔡 换 所 有 子 对 象 的 权限 项 目 ， 表 示 强 制 将 其 | 


下 层 子 对 象 的 权限 改 成 与 此 文件 夹 相 同 ， 不 过 仅 限 那些 可 以 被 子 对 象 继承 的 权限 。 例 如 | 
图 7-3-7 中 Jackie 的 权限 会 被 设置 到 所 有 的 子 对 象 ， 包 含 子 文件 夹 、 文 件 ， 因 为 Jackie 右 | 
侧 应 用 于 的 设置 为 此 文件 夹 ， 子 文件 夹 和 文件 ;然而 王 乔治 的 权限 设置 并 不 会 影响 到 子 | 
对 象 的 权限 ， 因 为 其 应 用 于 的 设置 为 只 有 该 文件 夹 。 | 


国 1eo 
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| 权限 条 | 
] 
| 


条 
该 蕴 芝 这 革 莹 竺 于 | 四 


图 7-3-7 
接着 通过 图 7-3-8 来 允许 或 拒绝 将 指定 权限 应 用 到 特定 的 位 置 ， 在 7.1 节 所 介绍 的 基本 权限 


就 是 这 些 特 殊 权 限 的 组 合 ， 例 如 基本 权限 读 取 就 是 特殊 权限 列 出 文件 夹 / 读 取 数 据 、 读 取 属 
性 、 读 取 扩展 属性 、 读 取 权 限 等 4 个 特殊 权限 的 组 合 。 


特殊 权限 的 意义 


站 遍历 文件 夹 /执行 文件 : 遍历 文件 夹 允许 用 户 即使 在 没有 权限 访问 文件 夹 的 情况 下 ， 
仍然 可 以 切换 到 该 文件 夹 内 。 此 设置 只 适用 于 文件 夹 ， 不 适用 于 文件 。 另 外 这 个 权 
限 只 有 用 户 在 组 策略 或 本 地 计算 机 策略 ( 见 第 11 章 ) 中 未 被 赋予 忽略 遍历 检查 权限 
时 才 有 效 。 执 行文 件 让 用 户 可 以 执行 程序 ， 此 权限 适用 于 文件 ， 不 适用 于 文件 夹 。 

当 列 出 文件 夹 / 读 取 数 据 : 列 出 文件 天 (适用 于 文件 夹 ) 让 用 户 可 查看 此 文件 来 内 的 文 
件 名 与 子 文件 夹 名 称 。 读 取 数 据 (适用 于 文件 ) 让 用 户 可 查看 文件 内 容 。 

站 读 取 属 性 : 允许 用 户 可 以 查看 文件 夹 或 文件 的 属性 (只 读 、 隐 藏 等 属性 ) 。 
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读 取 扩展 属性 : 和 和 和 记 呈 表 者 作 才 生 坟 休 妙 术 亲 遇 性 二 帮 思 村 三 坟 吉 天 和 
序 自 行 定义 的 ， 不 同 的 应 用 程序 可 能 有 不 同 的 扩展 属性 。 
创建 文件 / 写 入 数据 : 创建 文件 (适用 于 文件 夹 ) 允许 用 户 在 文件 夹 内 创建 文件 。 写 
入 数据 (适用 于 文件 ) 允许 用 户 能 够 修改 文件 内 容 或 覆盖 文件 内 容 . 
创建 文件 天 /附加 数据 : 创建 文件 天 (适用 于 文件 天 ) 让 用 户 可 以 在 文件 夹 内 建立 子 | 
文件 夹 。 附 加 数据 (适用 于 文件 ) 让 用 户 可 以 在 文件 的 后 面 追 加 数据 ， 但 是 无 法 修 | 
改 、 删 除 、 和 覆盖 原 有 内 容 。 

写 入 属性 : 允许 用 户 修改 文件 夹 或 文件 的 属性 (只 读 、 隐 藏 等 属性 ) 。 

写 入 扩展 属性 : 允许 用 户 修改 文件 夹 或 文件 的 扩展 属性 : 
删除 子 文件 天 及 文件 : 允许 用 户 删除 此 文件 夹 内 的 子 文件 志 与 文件 ， 即 使 用 户 对 此 
子 文件 夹 或 文件 没有 删除 的 权限 也 可 以 将 其 删除 ( 见 下 一 个 权限 ) 。 

除 : 允许 用 户 删除 此 文件 夹 或 文件 。 


用 户 对 此 文件 夹 或 文件 就 算是 没有 删除 的 权限 ， 但 是 只 要 他 对 父 文 件 夹具 备 删除 子 文件 


夹 及 文件 的 权限 ， 则 他 还 是 可 以 将 此 文件 来 或 文件 删除 。 例 如 用 户 对 位 于 CTest 文 件 夹 
内 的 文件 Readme.txt 并 没有 删除 的 权限 ， 但 是 却 对 CNTest 文 件 夹 拥 有 删除 子 文件 夹 及 文 


件 的 权限 ， 则 他 还 是 可 以 删除 文件 Readme.txt。 


习 
习 
| 


读 取 权 限 : 允许 用 户 可 以 查看 文件 夹 或 文件 的 权限 设置 。 

更 改 权限 : 允许 用 户 更 改 文件 夹 或 文件 的 权限 设置 。 

取得 所 有 权 : 允许 用 户 可 以 夺取 文件 夹 或 文件 的 所 有 权 。 文 件 夹 或 文件 的 所 有 者 ， 不 网 
他 当前 对 此 文件 夹 或 文件 拥有 何 种 权限 ， 仍 然 具备 更 改 此 文件 夹 或 文件 权限 的 能 力 。 


可 以 通过 【选中 文件 或 文件 夹 后 右 击 23 属 性 23 匡 国 选项 卡 > 轩 网 按钮 2 单 击 图 7-3-9 中 
各 到 轴 呈 祭 答 2 单 击 选 择 用 户 来 选择 特定 用 户 2 单 击 转注 消 闫 测 羡 扩 钮 】 的 方法 来 查看 用 户 ， 
的 有 效 权限 。 

前 面 说 过 如 果 用 户 同时 隶属 于 多 个 组 ， 而 且 该 用 户 与 这 些 组 分 别 对 某 个 文件 〈 或 文件 
夹 ) 拥有 不 同 的 权限 设置 时 ， 则 该 用 户 对 这 个 文件 的 有 效 权 限 是 其 所 有 权限 来 源 的 总 和 , 不 ， 
过 图 7-3-9 中 的 有 效 权 限 并 非 完 全 如 此 ， 并 不 会 将 某 些 特殊 组 的 权限 计算 进来 。 举 例 来 说 , 用 
户 A 同 时 属于 业务 部 与 经 理 组 ， 不 论 用户 未 来 是 网 络 登录 〈 此 时 他 会 隶属 于 特殊 组 Network， 
见 第 4 章 ) 或 是 本 地 登录 〈 此 时 他 会 隶属 于 特殊 组 Interactive) ， 图 7-3-9 中 的 有 效 权 限 不 会 将 
Network 或 Interactive 的 权限 计算 进去 ， 只 会 将 该 用 户 、 业 务 部 组 与 经 理 组 的 权限 相 加 。 有 效 ， 
权限 的 计算 ， 除 了 用 户 本 身 的 权限 之 外 ， 还 会 将 全 局 组 、 通 用 组 、 域 本 地 组 、 本 地 组 、 
Everyone 等 组 的 权限 相 加 。 
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En 
| 司 Testit 祠 私 安全 设置 口 X ji 


ET 
| 名 称 CATest 
| 所 有 者 。。 Administrators (SERVER3WAdministrators) 略 更 政 (C) 


X 必 XXXX 收 收发 了 区 发 收 X 汪 于 


时 


7.4 文件 与 文件 夹 的 所 有 权 


NTFS 与 ReFS 磁 盘 内 的 每 一 个 文件 与 文件 夹 都 有 所 有 者 ， 默 认 是 建立 文件 或 文件 夹 的 用 
， 户 ， 就 是 该 文件 或 文件 夹 的 所 有 者 。 所 有 者 可 以 更 改 其 所 拥有 的 文件 或 文件 夹 的 权限 ， 不 论 
其 当前 是 否 有 权限 访问 此 文件 或 文件 夹 。 
用 户 可 以 夺取 文件 或 文件 夹 的 所 有 权 ， 使 其 成 为 新 所 有 者 ， 然 而 用 户 必 须 具备 以 下 的 条 
上 件 之 一 ， 才 可 以 夺取 所 有 权 : 


浊 具备 取得 文件 或 其 他 对 象 的 所 有 权 权 限 的 用 户 。 默 认 仅 Administrators 组 拥有 此 权 
限 。 

昱 对 该 文件 或 文件 夹 拥有 取得 所 有 权 的 特殊 权限 。 

沁 具备 还 原文 件 及 目录 权限 的 用 户 。 

任何 用 户 在 成 为 文件 或 文件 夹 的 新 所 有 者 后 ， 便 具备 更 改 该 文件 或 文件 夹 权 限 的 能 力 ， 
但 是 并 不 会 影响 此 用 户 的 其 他 权限 ， 同 时 文件 夹 或 文件 的 所 有 权 被 夺取 后 ， 也 不 会 影响 原 所 
有 者 的 其 他 既 有 权限 。 

系统 管理 员 可 以 直接 将 所 有 权 转 移 给 其 他 用 户 。 用 户 也 可 以 自己 来 夺取 所 有 权 ， 例 如 假 
设 文 件 Note.txt 是 系统 管理 员 所 建立 的 ， 因 此 他 是 该 文件 的 所 有 者 ， 若 他 将 取得 所 有 权 的 权限 
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赋予 用 户 Mary〈 可 通过 图 7-3-8 来 设置 ) ， 则 Mary 可 以 在 登录 后 通过 以 下 方法 来 查看 或 夺取 文 
件 的 所 有 权 : 【选中 文件 Note.txt 后 右 击 纺 属性 信安 全 选项 卡 人 高 级 纺 如 图 7-4-1 所 示 单 击 所 有 
者 右 侧 的 更 改 23 在 前 景 图 中 选择 Mary 本 人 后 单 击 辆 翘 按钮 】 . 


需要 在 组 策略 中 的 用 户 账户 控制 : 以 管理 员 批 准 模式 运行 所 有 管理 员 策 略 被 禁用 的 情况 
下 ， 才 会 直接 出 现 图 7-4-1 中 的 前 景 界 面 ， 否 则 会 先 要 求 输入 系统 管理 员 的 密码 。 组 策 
略 的 设置 方法 为 ( 以 本 地 计算 机 策略 为 例 ， 详 见 第 11 章 ) 【 按时 + 国 键 2 执行 
gpeditmsc 仿 计算 机 配置 人 Windows 设 置信 安全 设置 纺 本 地 策略 仿 安 全 选项 】。 完 成 后 需 
重新 启动 计算 机 。 


7.5 文件 复制 或 草 切 后 的 权限 变化 


磁盘 内 的 文件 被 复制 或 剪 切 到 另 一 个 文件 夹 后 ， 权 限 可 能 会 发 生变 化 〈 参 考 图 7-5-1) : 


站 车 文 件 被 复制 到 另 一 个 文件 天: 无 论 是 被 复制 到 同一 个 磁盘 或 不 同 磁盘 的 另 一 个 文 
件 夹 内 ， 它 都 相当 于 新 建 一 个 文件 ， 此 新 文件 的 权限 是 继承 目的 地 的 权限 。 例 如 若 
用 户 对 位 于 C:\Data 内 的 文件 File1 具 有 读 取 的 权限 ， 对 文件 夹 C:\Tools 具 有 完全 控制 的 
权限 ， 当 File1 被 复制 到 C:\Tools 文 件 夹 后 ， 用 户 对 这 个 新 文件 将 具有 完全 控制 的 权 
除 。 
站 若 文件 被 剪 切 到 同一 个 磁盘 的 另 一 个 文件 夹 。 
国 若 原 文件 被 设置 为 继承 父 项 权限 : 则 会 先 删 除 从 源 文件 夹 所 继承 的 权限 (但 会 保 
留 非 继承 的 权限 ) ， 然 后 继承 目的 地 的 权限 。 例 如 由 C:\Data 文 件 夹 剪 切 到 
C:\Tools 文 件 夹 时 ， 会 先 删除 原 权限 中 从 C:\Data 继 承 的 权限 、 保 留 非 继承 的 权 
限 ， 然 后 继承 C:\Tools 的 权限 。 
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国 若 原 文件 是 被 设置 为 不 继承 父 项 权限 : 则 仍然 保留 原 权限 (权限 不 变 ) ， 例 如 由 
C:NData 文 件 夹 前 切 到 C:\Tools 文 件 夹 。 
沁 车 文件 是 被 前 切 到 另 一 个 磁盘 : 则 此 文件 将 继承 目的 地 的 权限 ， 例 如 由 C:\Data 文 件 
夹 剪 切 到 DCommon 文 件 夹 ， 因 为 是 在 DCommon 产 生 一 个 新 文件 (并 将 原文 件 删 
除 ) ， 因 此 会 继承 D'\Common 的 权限 。 


图 7-S-1 


将 文件 剪 切 或 复制 到 目的 地 的 用 户 ， 会 成 为 此 文件 的 所 有 者 。 文 件 夹 的 剪 切 或 复制 的 原 
旦 与 文件 是 相同 的 。 二 


若 将 文件 由 NTFS ( 或 ReFS ) 磁盘 剪 切 或 复制 到 FAT、FAT32 或 exFAT 磁 盘 ， 则 新 文件 
的 原 有 权限 都 将 被 删除 ， 因 为 FAT、FAT32 与 exFAT 都 不 支持 权限 控制 。 


如 果 要 将 文件 或 文件 夹 剪 切 〈 无 论 是 前 切 到 同一 个 磁盘 或 另 一 个 磁盘 ) ， 则 必须 对 来 源 
文件 或 文件 夹具 备 修改 权限 ， 同 时 也 必须 对 目的 地 文件 夹具 备 写 入 权限 ， 因 为 系统 在 剪 切 文 
忻 或 文件 夹 时 ， 会 先 将 文件 或 文件 夹 复制 到 目的 地 文件 夹 〈 因 此 对 它 需 具备 写 入 权限 ) ， 再 
格 源 文件 或 文件 夹 删除 〈 因 此 对 它 需 具 备 修改 权限 ) 。 
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人 ,文人 或 文件 天 复制 或 前 切 到 0 瘟 后 其 权限 如 何 变化 ? 


U 盘 可 被 格式 化 成 FAT、FAT32、exFAT 或 NTFS 文 件 系 统 ( 可 移动 存储 设备 不 支持 
ReFS ) ， 因 此 要 看 它 是 哪 一 种 文件 系统 来 确定 。 


7.6 文件 的 压缩 


将 文件 压缩 后 可 以 减少 它们 占用 磁盘 的 空间 。 系 统 支持 NTFS 压 缩 与 压缩 (zipped) 文 
件 夹 两 种 不 同 的 压缩 方法 ， 其 中 NTFS 压 缩 仅 NTFS 磁 盘 支 持 。 


ReFS、exFAT、FAT32 与 FAT 都 不 支持 NTFS 压 缩 。 


对 NTEFS 磁 盘 内 的 文件 压缩 的 方法 为 【选中 该 文件 后 右 击 人 属性 如 图 7-6-1 所 示 单 击 
丽 现 技 钮 2 匀 选 压缩 内 容 以 便 节 省 磁盘 空间 】。 


图 7-6-1 


若 要 压缩 文件 夹 【选中 该 文件 夹 后 右 击 3 属性 3 单 击 贰 丽 按 钮 2 匀 选 压缩 内 容 以 便 节 省 
磁盘 空间 2 单 击 辆 辆 扩 钮 2 单 击 丽 剖 按 钮 2 如 图 7-6-2 所 示 】。 
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图 76-2 


洋 仅 将 更 改 应 用 于 此 文件 夹 : 以 后 在 此 文件 夹 内 添加 的 文件 、 子 文件 夹 与 子 文件 夹 内 
的 文件 都 会 被 自动 压缩 ， 但 不 会 影响 到 此 文件 夹 内 现 有 的 文件 与 文件 来 。 
匀 将 更 改 应 用 于 此 文件 类、 子 文件 类 和 文件 : 不 但 以 后 在 此 文件 夹 内 新 建 的 文件 、 子 
文件 夹 与 子 文 件 夹 内 的 文件 都 会 被 自动 压缩 ， 同 时 会 将 已 经 存在 于 此 文件 天 内 的 现 
有 文件 、 子 文件 夹 与 子 文件 夹 内 的 文件 一 并 压缩 。 
也 可 以 针对 整个 磁盘 进行 压缩 : 【选中 磁盘 〈 例 如 C:) 右 击 纺 属 性 3 压 缩 此 驱动 器 以 节 
约 磁盘 空间 】。 
当 用 户 或 应 用 程序 要 读 取 压 缩 文 件 时 ， 系 统 会 将 文件 由 磁盘 内 读 出 、 自 动 将 解压 缩 后 的 
”内 容 提 供给 用 户 或 应 用 程序 ”然而 存储 在 磁盘 内 的 文件 仍然 是 处 于 压缩 状态 ;而 要 将 数据 写 
入 文件 时 ， 它 们 也 会 被 自动 压缩 后 再 写 入 磁盘 内 的 文件 。 


1. 已 加 密 的 文件 与 文件 夹 无 法 压缩 ， 也 可 使 用 COMPACT.EXE 来 执行 压缩 工作 。 


2.， 可 以 将 压缩 或 加 密 的 文件 以 不 同 的 颜色 来 显示 ， 方 法 为 【打开 文件 资源 管理 器 2 单 击 
上 方 查看 纺 单 击 右 侧 选项 图 标 信 如 图 7-6-3 所 示 色 选 查看 选项 卡 下 的 用 彩色 显示 加 密 
或 压缩 的 NTFS 文 件 】。 
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文件 复制 或 剪 切 时 压缩 属性 的 变化 | 


当 NTFS 磁 盘 内 的 文件 被 复制 或 搬移 到 另 一 个 文件 夹 后 ， 其 压缩 属性 的 变化 与 7.5 节 文件 
复制 或 剪 切 后 的 权限 变化 的 原理 类 似 ， 此 处 仅 以 图 7-6-4 来 说 明 。 


压缩 属性 不 变 


无 论 是 FAT、FAT32、exFAT、NTFS 或 ReFS 磁 盘 内 都 可 以 建立 压缩 (zipped) 文件 来， 
在 利用 文件 资源 管理 器 建立 压缩 〈zipped) 文件 夹 后 ， 被 复制 到 此 文件 夹 内 的 文件 都 会 被 自 
动 压缩 。 

可 以 在 不 需要 自行 解压 缩 的 情况 下 ， 直 接 读 取 压 缩 〈zipped) 文件 夹 内 的 文件 ， 甚 至 可 
以 直接 执行 其 中 的 程序 。 压 缩 (zipped) 文件 夹 的 文件 夹 名 的 扩展 名 为 .zip， 它 可 以 被 
WinZip、WinRAR 等 文件 压缩 工具 程序 解压 缩 。 

可 以 如 图 7-6-$ 所 示 通 过 【在 界面 右 侧 空白 处 右 击 Q 新 建 3 压 缩 〈zipped) 文件 夹 】 的 方 
法 来 新 建 压缩 (zipped) 文件 夹 。 
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二 二 


S 
带 改 日 期 娄 昏 


207ATHM4 T753 PDF 广 


DA41757 PPT 文 | 
2017/T1A 317:52 PDF 广 | 
Z017H191649 “PDF 文 


2Z201TTT4 17:52 ”RMVB 


7.6-5 


您 也 可 以 如 图 7-6-6 所 示 通 过 【选择 需要 压缩 的 文件 纺 选 中 这 些 文件 右 击 3 发 送 到 纺 压缩 
(zipped) 文件 夹 】 建 立 一 个 保存 这 些 文件 的 压缩 〈zipped) 文件 夹 。 


盟 ! 四 轴 18Binds 


oo 。 
5 个 项 目 已 选择 4 个 项 目 TI17 MB: 


图 766 


压缩 ( zipped ) 文件 夹 的 扩展 名 为 .zip， 不 过 系统 默认 会 隐藏 扩展 名 ， 如 果 要 显示 扩展 


名 的 话 : 【打开 文件 资源 管理 器 3 单 击 上 方 的 查看 2 义 选 文件 扩展 名 】。 
如 果 计 算 机 内 安装 有 WinZip 或 WinRAR 等 软件 ， 则 在 文件 资源 管理 器 中 双击 压缩 
( zipped ) 文件 夹 时 ， 系 统 会 通过 这 些 软件 来 打开 压缩 ( zipped ) 文件 夹 。 
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7.7 加 密 文件 系统 


加 密 文 件 系统 (Encrypting File System，EFS) 提供 文件 加 密 的 功能 ， 文 件 经 过 加 密 后 ， 
只 有 当初 将 其 加 密 的 用 户 或 被 授权 的 用 户 能 够 读 取 ， 因 此 可 以 增加 文件 的 安全 性 。 只 有 NTFS 
磁盘 内 的 文件 、 文 件 夹 才 可 以 被 加 密 ， 如 果 将 文件 复制 或 前 切 到 非 NTFS 磁 盘 内 ， 则 此 新 文件 
会 被 解密 。 

文件 压缩 与 加 密 无 法 并 存 。 要 加 密 已 压缩 的 文件 ， 则 该 文件 会 自动 被 解压 缩 。 要 压缩 已 
加 密 的 文件 ， 则 该 文件 会 自动 被 解密 。 


二 2 Er FT = ET ; 
源 7 对 文 . 六 人 秆 TS on 7 7 En 
人 类 避 I4L 本 习 厂 1T 二 ms ASS 生 : 潭 了 
风 gp 了 “二 这 和 入 记 4 -下 
Z < 5 有 工 L 日 抽 天 7 和 办 ,、 WP ] 
3 全 


对 文件 加 密 : 【选中 文件 右 击 2 属性 3 单 击 轩 王 按钮 2 如 图 7-7-1 所 示 色 选 加 密 内 容 以 便 ， 
保护 数据 2 选择 加 密 文件 及 其 父 文件 夹 ， 或 只 加 密 文件 】。 如 果 选 择 加 密 文件 及 其 父 文件 
夹 ， 则 以 后 在 此 文件 夹 内 新 添加 的 文件 都 会 自动 被 加 密 。 


对 文件 夹 加 密 : 【选中 文件 夹 右 击 2 属性 3 单 击 辕 铀 按钮 2 匀 选 加 密 内 容 以 便 保 护 数据 
2 在 图 7-7-2 中 参考 以 下 说 明 来 选择 】: 


浊 仅 将 更 改 应 用 于 此 文件 夹 : 以 后 在 此 文件 夹 内 添加 的 文件 、 子 文件 夹 与 子 文件 夹 内 
的 文件 都 会 被 自动 加 密 ， 但 不 会 影响 到 此 文件 夹 内 现 有 的 文件 与 文件 夹 。 

涪 将 更 改 应 用 于 此 文件 天 、 子 文件 夹 和 文件 : 不 但 以 后 在 此 文件 夹 内 新 增加 的 文件 、 
子 文件 夹 与 子 文 件 夹 内 的 文件 都 会 被 自动 加 密 ， 同 时 会 将 已 经 存在 于 此 文件 夹 内 的 
现 有 文件 、 子 文件 夹 与 子 文件 夹 内 的 文件 都 一 并 加 密 。 
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图 7-7-2 


当 用 户 或 应 用 程序 需要 读 取 加 密 文 件 时 ， 系 统 会 将 文件 由 磁盘 内 读 出 ”自动 将 解密 后 的 
| 内容 提 供给 用 户 或 应 用 程序 ， 然 而 存储 在 磁盘 内 的 文件 仍然 是 处 于 加 密 状 态 ;， 而 要 将 数据 写 
| 六 文 件 时 ， 它 们 也 会 被 自动 加 密 后 再 写 入 磁盘 内 的 文件 。 
| 如 果 将 一 个 未 加 密 文 件 剪 切 或 复制 到 加 密 文 件 夹 ， 该 文件 会 被 自动 加 密 。 当 将 一 个 加 密 
文件 剪 切 或 复制 到 非 加 密 文 件 夹 时 ， 该 文件 仍然 会 保持 其 加 密 的 状态 。 


利用 EFS 加 密 的 文件 ， 只 有 存储 在 硬盘 内 才 会 被 加 密 ， 在 通过 网 络 传输 的 过 程 中 是 没有 
| 加 密 的 。 如 果 希 望 通过 网 络 传输 时 仍然 保持 加 密 的 安全 状态 ， 可 以 通过 IPSec 或 WebDev 
等 方式 来 加 密 ( 详 见 《Windows Server 2016 网 络 管理 与 架 站 》 ) 。 


被 加 密 的 文件 只 有 文件 的 所 有 者 可 以 读 取 ， 但 是 可 以 授权 给 其 他 用 户 读 取 。 被 授权 的 用 
户 必 须 具 备 EFS 证 书 ， 而 普通 用 户 在 第 1 次 执行 加 密 操 作 后 ， 他 就 会 自动 被 赋予 EFS 证 书 ， 也 
就 可 以 被 授权 了 。 2 

以 下 示例 假设 要 授权 给 用 户 george， 因 此 先 让 george 对 任何 一 个 文件 执行 加 密 的 操作 。 授 
权 给 用 户 george 的 步骤 为 : 【选中 加 密 的 文件 后 右 击 人 属性 3 单 击 杜 丽 校 钮 2 在 图 7-7-3 中 单 


击 王 杀生 国术 钊 、 泗 油 扩 钮 、 选 择 用 户 george】。 


具备 恢复 证 书 的 用 户 也 可 以 访问 被 加 密 的 文件 。 默 认 只 有 域 Administrator 拥 有 恢复 证 书 

( 由 图 7-7-3 的 中 间 图 下 方 的 恢复 证 书 处 可 看 出 )-， 不 过 可 以 通过 组 策略 或 本 地 策略 将 
恢复 证 书 分 配给 其 他 用 户 ， 以 本 地 策略 为 例 ( 详 见 第 11 章 ) ， 其 设置 方法 为 【 单 击 左下 
角 开 始 图 标 2Windows 管 理工 具 人 本 地 安全 策略 人 公 钥 策略 人 选中 加 密 文件 系统 右 击 了 
添加 数据 恢复 代理 程序 】。 


于- Windows Server 2016 系统 配置 指南 


这 


为 了 避免 BFS 证 书 丢失 或 损毁 ， 造 成 文件 无 法 读 取 的 后 果 ， 因 此 建议 利用 证 书 管理 控制 
台 来 备份 EFS 证 书 ，【 按 加 + 国 键 2 执 行 certmgrmse 仿 如 图 7-7-4 所 示 展 开 个 人 、 证 书信 选 让 
右 侧 预 期 目的 为 加 密 文件 系统 的 证 书后 右 击 2 所 有 任务 2 导出 3 单 击 讲 国 员 护 钮 2 选择 是 ， 
导出 私 钥 2 在 导出 文件 格式 界面 中 单 击 斌 国 弹 掖 钮 选择 默认 的 .pfx 格 式 2 在 安全 界面 中 选择 
组 或 用 户 名 ， 也 可 以 设置 密码 〈 以 后 只 有 该 用 户 有 权 导 入 ， 和 否则 需要 输入 此 处 的 密码 ) 
2...】， 建 议 将 此 证 书 文件 备份 到 另外 一 个 安全 的 地 方 。 如 果 有 多 个 EFS 证 书 ， 请 全 部 导出 
存档 。 
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7.8 BitLocker 磁 盘 驱动 器 加 密 


BitLocker 磁 盘 驱 动 器 加 密 可 以 将 磁盘 加 密 ， 以 确保 其 中 数据 的 安全 性 。 即 使 磁盘 技 失 ， 
也 不 需要 担心 数据 外 泄 ， 因 为 它 被 拿 到 另 一 台 计 算 机 也 无 法 读 取 其 中 的 文件 。 如 果 被 加 密 保 
护 的 磁盘 是 Windows 操 作 系统 磁 盘 ， 那 么 即使 它 被 拿 到 另 一 台 计 算 机 启动 ， 除 非 解除 锁定 ， 
否则 无 法 启动 。 

因为 可 移动 磁盘 〈 例 如 U 盘 ) 容易 丢失 、 遭 窃 ， 所 以 为 了 避免 磁盘 内 的 数据 轻易 外 汇 ， 
系统 通过 BitLocker to Go 功能 来 对 可 移动 磁盘 加 密 。 


加 密 解 密 操 作 会 增加 系统 负担 ， 因 此 启用 BitLocker 后 的 系统 运行 效率 会 受到 影响 。 


NTFS 与 ReFS 都 支持 BitLocker。 


Windows 计 算 机 内 至 少 需要 两 个 磁盘 分 区 才能 够 使 用 BitLocker: 


站 一 个 用 来 安装 Windows 操 作 系 统 的 NTFS 磁 盘 分 区 (一 般 是 C: ) 可 以 选择 是 否 要 将 
此 磁盘 加 密 。 

昱 一 个 用 来 启动 计算 机 的 磁盘 分 区 ， 它 必须 被 设置 为 活动 (active ) ， 而 且 它 不 能 被 加 
密 。 如 果 计 算 机 使 用 的 是 传统 BIOS， 则 此 磁盘 分 区 需 为 NTFS; 若是 UEFI BIOS， 则 
此 磁盘 分 区 需 为 FAT32。 


当 你 在 一 台新 计算 机 上 安装 Windows Server 2016 时 ， 安 装 程序 就 会 自动 建立 BitLocker 所 
需 的 两 个 磁盘 分 区 〔〈 以 使 用 传统 BIOS 的 计算 机 为 例 ， 见 第 13 章 ) 。 
针对 Windows 操 作 系统 磁盘 来 说 ， BitLocker 可 通过 以 下 方式 来 提供 保护 功能 : 


妆 可 信赖 平台 模块 (TPML 1.2 或 新 版 ) : TPM (Trusted Platform Module ) 是 一 个 微 芯 
片 ， 若 计算 机 使 用 此 芯片 ，BitLocker 可 将 解锁 密 钥 存储 到 此 芯片 中 ， 计 算 机 启动 时 
会 到 此 芯片 内 读 取 解 锁 密 钥 ， 并 利用 它 对 操作 系统 磁盘 解锁 与 启动 Windows 操 作 系 
统 。 此 计算 机 需 配 备 符合 TCG ( Trusted Compnuting Group ) 规范 的 传统 BIOS 或 UEFI 
BIOS， 而 且 需 要 启用 TPM 有 功能 。 

包 USB 设 备 : 不 支持 TPM 的 计算 机 可 以 使 用 USB 设 备 (例如 U 盘 ) ， 它 会 将 解锁 密 钥 存 
储 到 USB 设 备 内 ， 每 次 启动 计算 机 时 都 必须 将 USB 设 备 插 到 USB 插 槽 。 请 确认 BIOS 
的 设置 启用 了 对 USB 设 备 的 支持 。 

站 密码 : 用 户 在 计算 机 启动 时 需 输 入 所 设置 的 密码 来 解锁 。 


针对 固定 式 或 可 移动 磁盘 来 说 ，BitLocker 可 通过 多 种 方法 来 提供 保护 ， 例 如 ; 
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站 密码 : 当 用 户 要 访问 该 数据 磁盘 时 ， 必 须 输 入 密码 来 解锁 。 

站 智能 卡 : 当 用 户 要 访问 该 数据 磁盘 时 ， 需 插入 智能 卡 、 输 入 PIN 码 来 解锁 。 

淖 自动 解锁 : 针对 固定 式 数据 磁盘 来 说 ， 只 要 操作 系统 磁盘 有 BitLocker 加 密 保护 ， 就 
可 以 设置 自动 将 此 数据 磁盘 解锁 ， 以 后 系统 启动 时 ， 此 数据 磁盘 就 会 自动 解锁 。 而 
针对 热 插 拔 式 数据 磁盘 来 说 (操作 系统 磁盘 不 需 BitLocker 加 密 保 护 ) ， 在 先 使 用 密 
码 或 智能 卡 解 锁 后 ， 就 可 以 设置 为 以 后 自动 解锁 。 


aa 
以 下 实例 是 对 操作 系统 磁盘 进行 加 密 ， 且 采用 密码 解锁 的 方式 。 在 安装 Windows Server 
2016 时 ， 使 用 传统 BIOS 模 式 的 计算 机 ， 安 装 程序 会 自动 建立 两 个 磁盘 分 区 《〈 见 图 7-8-1) ， 若 
是 使 用 UEFI 模 式 的 计算 机 ， 安 装 程序 会 自动 建立 三 个 或 四 个 磁盘 分 区 〈 见 图 7-8-2) 。 其 中 一 
个 被 设置 为 用 来 启动 计算 机 《图 7-8-1 中 标识 为 系统 保留 ， 图 7-8-2 中 标识 为 EFI 系 统 分 区 ) ， 
另 一 个 用 来 安装 Windows Server 2016〈C: 磁 盘 ) ， 此 环境 已 经 可 以 用 来 支持 BitLocker 功 能 。 


| 呈 


箱 单 基本 杖 志 廊 好 (ER 系统 分 区 ) 99 MB ”99 
二 (C) 简单 大 本 NTFS 状态 良好 ( 且 动 页 西 文 件 , 故 外 转 铸 主 分 区 ) 11945 GB 109.13 GB 91 % 1 


安装 “BitLocker 驱动 器 加 密 ” 
安装 BitLocker 驱 动 器 加 密 的 方法 为 , 【 单 击 左 下 角 开 始 图 标明 2 服务 器 管理 器 纺 单 击 仪 


图 1% 


第 7 章 NTFS 与 ReFS 破 盘 的 安全 与 管理 | 是 国 


肤 板 处 的 添加 角色 和 功能 2 持续 单 击 轴 嘲 丽 扩 钮 ， 一 直到 图 7-8-3 选 择 功能 界面 时 勾 先 


[BitLocker 驱 动 器 加 密 忆 .…】， 完 成 安装 后 重新 启动 计算 机 。 


在 域 环 境 下 ， 若 客户 端 计算 机 的 操作 系统 磁盘 被 BitLocker 保 护 ， 且 其 BIOS 为 新 版 UEFI 
BIOS ( 包含 DHCP 驱 动 程序 ) 、 配 备 TPM 1.2 !( 或 新 版 ) +PIN， 则 当 此 计算 机 启动 时 ， 

可 以 通过 一 人 台 安 装 Windows 部 署 服务 的 服务 器 所 提供 的 密 钥 来 远程 解锁 客户 端 计 算 机 。 

这 全 Windows 部 署 服务 服务 器 需 安装 图 7-8-3 中 的 BitLocker 网 络 解锁 功能 ， 并 安装 适当 
证 书 。 


允许 在 无 TPM 环境 下 使 用 BitLocker 


以 操作 系统 磁盘 来 说 ， 系 统 默认 只 支持 TPM 方 式 的 BitLocker， 若 要 支持 其 他 方式 〈U 
盘 、 密 码 ) : 【 按 于 + 国 链 2 执行 GPEDITMSC3 展 开 图 7-8-4 中 的 计算 机 配置 2 管理 模板 
23Windows 组 件 2BitLocker 驱 动 器 加 密 驴 操作 系统 驱动 器 纺 双 击 右 侧 启动 时 需要 附加 身份 验证 
2 依照 前 景 图 所 示 进 行 勾 选 3 单 击 畦 翘 技 钮 】. 
本 地 组 策 栈 篇 秀 器 ER 


和 中 | 震 国 | 目下 加 | 了 
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启用 BitLocker 驱动 器 加 密 
STEP 贺 。 单 击 左下 角 开始 图 标 轩 2 控 制 面板 纺 系 统 和 安全 3BitLocker 驱 动 器 加 密 了 单 击 图 7-8-5 
中 的 启用 BitLocker。 


C: BitLocker 已 关闭 


新 加 卷 (D] BitLocker 已 关闭 


可 移动 数据 驱动 器 - BitLocker To Go 
E: BitLocker 已 关闭 


图 7-8-5 


若 要 对 固定 式 或 可 移动 磁盘 ( 例如 U 盘 ) 加 密 ， 请 通过 图 7-8-5 中 的 固定 数据 驱动 器 或 可 
移动 数据 驱动 器 - BitLocker To Go 处 进行 设置 。 


STEP 回 在 图 7-8-6 中 选择 输入 密码 。 


STEP 回 。 如 图 7-8-7 所 示 输 入 密码 后 单 击 鄙 用 过 钮 。 密 码 需要 符合 复杂 性 要 求 ， 且 至 少 需 8 
个 字符 。 
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STEP 四 ”在 图 7-8-8 中 可 选择 将 恢复 密 钥 ( 见 下 面 注意 的 说 明 ) 保存 到 U 盘 、 文 件 或 打印 恢复 
密 钥 。 此 处 我 们 选择 保存 到 文件 、 单 击 番 清 吕 扩 钮 。 


启用 BitLocker 后 ， 使 用 TPM 的 计算 机 启动 时 如 果 启 动 环境 有 变化 的 话 ， 例 如 BIOS 被 更 
新 、 磁 盘 有 误 、 其 他 启动 组 件 有 变动 或 磁盘 被 拿 到 另外 一 合计 算 机 启动 等 ，BitLocker 就 
不 会 对 操作 系统 磁盘 解锁 ， 因 此 无 法 启动 Windows Server 2016， 此 时 用 户 可 利用 恢复 
密 钥 来 对 磁盘 解锁 与 启动 系统 ， 需 要 在 首次 启用 BitLocker 时 建立 恢复 密 钥 ， 否 则 以 后 可 
能 会 有 磁盘 无 法 读 取 的 风险 。 

使 用 U 盘 存储 解锁 密 钥 的 计算 机 虽然 不 会 检查 启动 环境 是 否 有 变化 ， 不 过 还 是 需要 建立 
恢复 密 钥 ， 以 免 U 盘 故障 、 遗 失 。 若 要 将 恢复 密 钥 存 储 到 U 盘 ， 建 议 用 另外 一 个 U 盘 ， 不 
要 用 存储 解锁 密 钥 的 同一 个 U 盘 ， 以 免 此 U 盘 遗失 时 解锁 密 钥 与 恢复 密 钥 同 时 丢失 。 
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STEP 回 ”在 图 7-8-9 中 选择 恢复 密 钥 的 存储 位 置 后 单 击 区 淹 以 钮 、 基 和 到 加 坟 钮 、j 生 吉 护 
钮 。 注 意 不 能 存储 到 Windows Server 2016 操 作 系 统 磁 盘 内 ， 不 能 存储 到 固定 磁盘 的 
根 文件 夹 内 ( 图 中 将 其 存储 到 D:VTest 内 ) 。 


墩 将 BitLocker 恢复 守 钥 另存 为 
4《 了 -不 | 网 … 新 加 卷 (D] ，Test 


图 7-8.9 


图 7-8-10 


STEP 园 ， 在 图 7-8-11 选 择 功能 较 完 整 的 新 加 密 模 式 后 单 击 番 肘 国 按钮 ( 它 与 日 版 系统 的 加 密 ， 


模式 不 兼容 ， 若 是 可 移动 磁盘 而 且 会 通过 旧版 系统 读 取 的 话 ， 需 要 选择 兼容 模 
式 ) 。 
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x] 
e ”向 BitLocker 杠 动 破 加 它 (Cj 


选择 要 使 用 的 加 密 模 式 


Windows 10 ( 伍 本 151103 引 入 了 新 的 碰 盘 加 过 模式 KXTS-AES)。 此 模式 提供 更 多 的 完整 性 支持 ， 但 与 早期 
版 本 的 Windows 不 闵 窜 . 


如 果 这 是 要 在 早期 版 本 的 Windows 上 使 用 的 可 移动 哎 动 占 , 则 应 选择 -兼容 "模式 . 


如 果 这 是 一 个 国定 驱动 名 ， 或 者 此 驱动 强 只 会 在 至 少 运 行 Windows 10 (版 本 1511) 或 更 高 版 本 的 设备 上 
使 用 ， 则 应 选择 新 的 加 密 模式 


国 新 加 客 模 式 (最 适合 用 于 此 设备 上 的 固定 狗 动 串 KN) 
〇 〇 兼 容 模 式 ( 晤 适合 用 于 可 从 此 设备 移动 的 葬 动 器 HC) 


图 7-8-1l 


STEP 回 ”在 图 7-8-12 单 击 蕊 鲍 按 钮 ， 取 出 光盘 ( 如 果 有 的 话 ) ， 重 新 启动 计算 机 。 


X 
《向 BiLocker 殉 动 呈 加 过 (Cj) 


是 否 准 备 加 密 该 驱动 器 ? 
加 这 可 能 委 和 要 一 良 时 间 , 具体 取决 于 移动 器 的 大 小 . 
虽然 你 的 电脑 运行 速度 可 能 会 非常 稻 慢 ， 但 此 范 动 竹 加 计时 你 仍 可 以 赦 续 工作 . 
回 运行 BitLocker 系统 检查 (R) 
系统 检查 可 确保 BitLocker 在 加 刻 狗 动 存 之 前 蓄 各 正 确 读 取 恢 复 志 调和 加 守 富 钥 。 
| Btocker 将 在 加 密 前 重新 启动 计算 机 


注 登 司 ,但 推荐 进行 此 检查 ， 四 为 这 样 可 确保 你 选择 的 解 猴 方法 能 免 正 军工 
作 ,而 无 需 恢 复 宫 洞 ， 


图 7-8-12 
STEP 回 ”重新 启动 计算 机 后 ， 如 图 7-8-13 所 示 输 入 解锁 密码 后 按 项 国 键 ( 若 忘记 密码 ， 请 按 


国 国 键 来 输入 恢复 密 钥 ) 、 登 录 ， 之 后 可 以 从 任务 栏 图 标 得 知 BitLocker 开 始 对 操作 系统 
磁盘 加 密 ， 单 击 此 图 标 便 可 从 图 7-8-14 得 知 加 密 进 度 ， 这 将 花费 比较 长 的 时 间 。 


入 BitLocker 


< 嘻 正在 加 密 .… 


驱动 器 C: 80.9% 已 完成 


图 7-8-13 


图 78-14 


二 Windows Server 2016 系统 配置 指南 


STEPEI 以 后 每 次 启动 计算 机 时 都 必须 输入 解锁 密码 才 可 以 启动 Windows Server 2016; 密 
码 忘 记 时 ， 可 以 通过 输入 恢复 密 钥 来 解锁 ， 否 则 无 法 启动 Windows Server 2016， 
也 无 法 访问 该 磁盘 内 的 文件 。 


暂停 与 关闭 BitLocker 


当 需 要 更 新 计算 机 的 BIOS 固 件 、 硬 件 或 操作 系统 时 ， 请 先 暂 停 BitLocker， 以 免 因 为 启动 
环境 的 变动 而 影响 Windows Server 2016 的 启动 。 暂 停 后 ， 下 次 重新 启动 计算 机 时 就 不 需要 输 
入 密码 了 ， 不 过 计算 机 启动 完成 后 ，BitLocker 会 自动 重新 启用 。 暂 停 BitLocker 的 方法 为 【如 
图 7-8-15 所 示 单 击 暂停 保护 ， 单 击 因 国 汪 中 扩 钮 】 . 


7-8-15 


暂停 后 ， 可 以 随时 重新 启用 BitLocker， 此 时 由 于 磁盘 仍然 是 保持 加 密 状 态 ， 因 此 重新 启 
用 BitLocker 时 ， 不 需要 再 经 过 元 长 的 加 密 过 程 。 重 新 启用 BitLocker 的 方法 为 【如 图 7-8-16 所 
示 单 击 恢复 保护 】。 


局 Bitocker 驱动 吕 加 灾 xX 
个 图 “和 RE 全 ，bhlocker 江 动 硬 。 、Y| oO | 搜索 tom 本 也 | 
控制 机 板 主页 9 


图 7-8-16 
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| 若 想 要 对 磁盘 解密 、 不 再 使 用 BitLocker 功 能 的 话 ， 可 通过 关闭 BitLocker 的 方式 来 设置 ， 
如 图 7-8-17 所 示 单 击 关 闭 BitLocker， 以 后 若 要 重新 使 用 BitLocker， 就 需要 建立 新 的 解锁 密 钥 
与 恢复 密 钥 ， 而 且 需 要 花费 很 长 时 间 来 重新 对 磁盘 加 密 。 


局 BitLocker 驱动 强加 客 二 92 
个 天 “ 对 8 去 全 ， BiLocker 驱动 器 加 记 二 | 书香 注 制 丁 析 忆 
控制 而 和 板 主页 @5 
BitLocker 驱动 器 加 密 
通过 使 用 BitLocker 保护 驱动 器 ， 可 帮助 保护 你 的 文件 和 文件 卖 免 受 未 经 授权 的 访问 


操作 系统 驱动 器 
C: BitLocker 已 暂停 

另 清 参 网 刀 准 
和 TPM 和 车 理 
舍 夹 盘 管理 

隐私 声明 

、: 
TS8-17 


7.9 碎片 整理 与 检查 磁盘 错误 


| 磁盘 使 用 一 段 时 间 后 ， 存 储 在 磁盘 内 的 文件 可 能 会 零 零散 散 地 分 布 在 磁盘 中 ， 因 而 影响 
到 磁盘 的 读 写 效率 ， 这 时 需要 对 磁盘 进行 碎片 整理 。 碎 片 整理 时 ， 系 统 会 将 磁盘 内 的 文件 读 
出 ， 然 后 再 重新 写 入 连续 空间 内 。 碎 片 整理 的 步骤 为 【打开 文件 资源 管理 器 人 选中 任 一 磁盘 
后 右 击 人 属性 3 单 击 图 7-9-1 中 工具 选项 卡 下 的 甘 壬 护 钮 2 在 图 7-9-2 中 选择 要 进行 碎片 整理 的 
磁盘 2 先 通过 辆 汪 核 钮 来 了 解 该 磁盘 分 散 的 程度 ， 有 需要 的 话 再 通过 贰 重 护 钮 进行 磁盘 碎片 
整理 工作 】。 
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201771116 21:22 。 正 尝 国 片 可 理 已 充 或 099 
201711116 2121 正常 酬 片 整理 已 完成 096) 


图 7-9-2 


由 于 固态 硬盘 ( SSD ) 的 特性 与 常规 传统 硬盘 不 同 ， 因 此 不 适用 此 类 的 磁盘 碎片 整理 。 


也 可 以 定期 检查 与 修复 磁盘 的 错误 ， 单 击 图 7-9-3 中 工具 选项 卡 下 的 本国 掖 钮 ， 然 后 通过 
图 7-9-4 中 的 扫描 驱动 器 来 检查 磁盘 是 否 存在 错误 。 


图 7-9-3 图 7.94 


7.10 磁盘 配额 


可 以 通过 磁盘 配额 功能 来 限制 用 户 在 NTFS 磁 盘 内 的 使 用 容量 ， 也 可 以 跟踪 每 一 个 用 户 的 
NTFS 磁 盘 空 间 使 用 情况 。 通 过 磁盘 配额 的 限制 ， 可 以 避免 用 户 占用 大 量 的 硬盘 空间 。 
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磁盘 配额 是 针对 单一 用 户 来 控制 与 跟踪 的 。 

仅 NTFS 磁 盘 支 持 磁盘 配额 ，ReFS、exFAT、EFEAT32 与 FAT 磁 盘 不 支持 。 

磁盘 配额 是 以 文件 与 文件 夹 的 所 有 权 来 计算 的 : 在 一 个 磁盘 内 ， 只 要 文件 或 文件 夹 

的 所 有 权 是 属于 用 户 的 ， 则 其 所 占有 的 磁盘 空间 都 会 被 计算 到 该 用 户 的 配额 内 。 例 

如 ， 当 在 一 个 磁盘 内 新 建 一 个 文件 或 复制 一 个 文件 到 此 磁盘 或 夺取 了 此 磁盘 内 的 一 

个 文件 的 所 有 权 后 ， 这 个 文件 所 占用 的 磁盘 空间 就 会 被 计算 在 这 个 用 户 的 配额 内 。 

涪 磁盘 配额 的 计算 不 考虑 文件 压缩 的 因素 ;: 虽然 磁盘 内 的 文件 与 文件 夹 可 以 被 压缩 ， 
但 磁盘 配额 在 计算 用 户 的 磁盘 空间 总 使 用 量 时 是 以 文件 的 原始 大 小 来 计算 的 。 

沁 每 一 个 磁盘 的 磁盘 配额 是 独立 计算 的 ， 不 论 这 些 磁盘 是 否 在 同一 块 硬 盘 内 。 例 如 ， 
若 第 一 块 硬盘 被 分 为 C: 与 D: 两 个 磁盘 ， 则 用 户 在 磁盘 C: 与 D: 可 以 分 别 有 不 同 的 磁盘 
配额 。 

涪 系统 管理 员 并 不 会 受到 磁盘 配额 的 限制 。 


区 区 攻 


需要 具备 系统 管理 员 权 限 才 可 以 设置 磁盘 配额 : 【打开 文件 资源 管理 器 人 选中 磁盘 驱动 
”器 〈 例 如 C: 磁 盘 ) 后 右 击 2 属 性 2 如 图 7-10-1 所 示 色 选 配额 选项 卡 下 的 启用 配额 管理 2 单 击 


国 刘 扩 钮 】 . 

1 

图 7-10-1 

六 拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 : 如 果 用 户 在 此 磁盘 所 使 用 的 磁盘 空间 已 超 
| 过 配额 限制 时 : 
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国 ”如果 未 勾 选 此 选项 ， 则 该 用 户 仍 可 继续 将 新 数据 存储 到 此 磁盘 内 。 此 功能 可 用 来 
跟踪 、 监 视 用 户 的 磁盘 空间 使 用 情况 ， 但 不 会 限制 其 对 磁盘 空间 的 使 用 。 

国 若 义 选 此 选项 ， 则 用 户 就 无 法 再 向 此 磁盘 写 入 任何 新 的 数据 。 如 果 用 户 尝试 写 入 
数据 ， 屏 幕 上 就 会 有 类 似 图 7-10:2 或 图 7-10-3 的 被 拒绝 写 入 的 界面 。 


复制 文件 或 文件 夹 发 生 错误 


侈 磁盘 空间 不 足 ， 无 法 完成 操作 。 


图 7-102 7-10-3 


浊 为 该 卷 上 的 新 用 户 选 择 默认 配额 限制 : 用 来 设置 新 用 户 的 磁盘 配额 。 

国 ”不 限制 磁盘 使 用 量 : 用 户 在 此 磁盘 的 可 用 空间 不 受 限制 。 

国 将 磁盘 空间 限制 为 : 限制 用 户 在 此 磁盘 的 可 用 空间 。 磁 盘 配 额 未 启用 前 就 已 经 在 
此 磁盘 内 存储 数据 的 用 户 ， 不 会 受到 此 处 的 限制 ， 但 可 另外 针对 这 些 用 户 来 设置 
配额 。 

加 将 警告 等 级 设 为 : 可 让 系统 管理 员 来 查看 用 户 所 使 用 的 磁盘 空间 是 否 已 超过 此 处 
的 警告 值 。 

咏 选择 该 卷 的 配额 记录 选项 : 用 来 设置 当 用 户 超过 配额 限制 或 警告 等 级 时 ， 将 这 些 事 
项 记录 到 系统 日 志 中 ， 可 以 通过 【 单 击 左 下 角 开 始 图 标 图 2 Windows 管 理工 具 仿 事件 
查看 器 人 Windows 上 日志 仿 系统 令 如 图 7-10-4 所 示 单 击 来 源 为 NTEFS 的 事件 】 的 方法 来 
查看 其 详细 信息 。 

国 事件 查看 恕 = 由” 


文 8HH 了 fFA 查看 V) St 
和 中 | 志 曾 | 日 站 


2017/11120 23:1449 
201711120 2313:45 
201771TY20 23:13:44 
2017111/20 23:13:36 
2 2 主 133: 


2017/1120 23:06.22 
2017/1120 23405.38 
2n37LTI20 23.s-3C 
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选择 图 7-10-1 右 下 方 轧 甘 副 掖 钮 后 ， 就 可 通过 图 7-10-5 的 界面 来 监视 每 一 个 用 户 的 磁盘 
配额 使 用 情况 ， 也 可 以 通过 它 来 为 特定 的 用 户 进行 单独 的 磁盘 配额 设置 。 


图 7-10-5 


若 要 更 改 其 中 任何 一 个 用 户 的 磁盘 配额 设置 ， 只 要 在 图 7-10-5 中 双击 该 用 户 ， 然 后 通过 
图 7-10-6 的 界面 来 更 改 其 磁盘 配额 即 可 。 


70 MB 14% ) 
到 全 本 侨 : 429.99 MB 


口 不 限制 三 查 使 用 (O) 


图 7-1046 


如 果 要 针对 未 出 现在 图 7-10-5 列 表 中 的 用 户 事先 为 其 设置 磁盘 配额 ， 可 通过 如 图 7-10-7 所 
示 利 用 【配额 2 新 建 配 额 项 】 的 方法 来 设置 。 
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资源 共享 是 网 络 的 主要 功能 之 一 ， 因 此 本 章 将 介绍 如 何 通过 公用 文件 夹 (public folder) 
与 共享 文件 夹 〈shared folder) 将 文件 资源 共享 给 其 他 用 户 。 


公用 文件 夹 

共享 文件 夹 

共享 文件 夹 的 新 建 与 管理 

用 户 如 何 访问 网 络 公 用 与 共享 文件 来 
脱 机 文件 

卷 影 副 本 


区 区 区 区 区 区 
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8.1 公用 文件 夹 


磁盘 内 的 文件 经 过 适当 权限 设置 后 ， 每 一 位 登录 计算 机 的 用 户 都 只 能 访问 自己 有 权限 的 
文件 ， 无 法 访问 其 他 用 户 的 文件 ， 此 时 若 这 些 用 户 要 相互 共享 文件 的 话 ， 该 如 何 做 昵 ? 开放 
权限 是 一 种 可 行 的 方法 ， 不 过 也 可 以 利用 公用 文件 夹 。 一 套 系 统 只 有 一 个 公用 文件 夹 ， 每 一 
位 在 本 地 登录 的 用 户 都 可 以 访问 此 文件 夹 ,用户 可 以 通过 【打开 文件 资源 管理 器 2 单 击 此 电 
脑 忆 单 击 本 地 磁盘 〈C:) 了 单 击 用 户 下 的 公用 】 的 方法 来 查看 公用 文件 夹 ， 如 图 8-1-1 所 示 。 


区 | 回国 >1 公 用 - 


用 视 鼎 。” N\，2016/7115 2123 文 4 夫 | 
AR 人 
201771171423:29 
2016/7116 2123 
2016/7116 21:23 
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由 图 8-1-1 可 知 公用 文件 夹 内 默认 已 经 有 公用 下 载 、 公 用 文档 等 文件 夹 ， 用 户 只 要 把 需要 

共享 的 文件 复制 到 其 中 即 可 。 用 户 也 可 以 在 公用 文件 夹 内 新 建 更 多 的 文件 夹 。 

系统 管理 员 也 可 以 允许 用 户 通过 网 络 来 访问 公用 文件 夹 : 【【 单 击 左下 角 开始 图 标 田 3 控 
制 面板 人 网 络 和 Internet 人 网 络 和 共享 中 心 3 单 击 左 侧 更 改 高 级 共享 设置 2 展开 所 有 网 络 忆 按 
照 图 8-1-2 所 示 选 择 2 单 击 国 入 汪 轴 扩 钮 】. 

如 果 选 中 启用 密码 保护 共享 这 是 默认 值 。 加 入 域 的 计算 机 会 自动 启用 密码 保护 共享 ， 
且 在 图 8-1-2 中 不 会 显示 此 选项 ) ， 网 络 用 户 连接 此 计算 机 时 必须 先 输入 有 效 的 用 户 账户 与 密 
码 后 ， 才 可 以 访问 公用 文件 夹 。 

无 法 只 针对 特定 用 户 启用 公用 文件 夹 共 享 ， 如 果 启 用 公用 文件 夹 共 享 ， 则 网 络 上 所 有 用 
户 都 可 以 访问 《用 户 可 能 需要 输入 账户 与 密码 ) 。 如 果 关 闭 公用 文件 夹 共 享 ， 则 网 络 上 所 有 
用 户 都 无 法 访问 。 
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图 8-1-2 


假设 已 经 启用 公用 文件 夹 共享 的 计算 机 ， 其 耳 地 址 为 192.168.8.3 盖 则 网 络 上 的 用 户 连接 
此 公用 文件 夹 时 ， 可 以 通过 【打开 文件 资源 管理 器 如 图 8-1-3 输 入 \192.168.8.3 后 按 项 国人 刍 
《可 能 需 输 入 有 权限 访问 此 公用 文件 夹 的 账号 与 密码 ， 默 认 是 Everyone 都 有 完全 控制 的 权 
限 ) 纪 单 击 图 中 的 Users 人 单 击 公用 人 ...】。 


到 | 加 国 > | 192168.83 3 久 
国生 岳 ” 堆 。 畦 ~ 图 
> “个 虱 : | | 要 这 "192.168.83" 一 
内 
v 并 快 速 访问 于 
国 吉 西 兴 
量 T 蒙 奸 
图 文档 地 
| 画图 片 闭 | 


图 8-1-3 


即使 不 将 文件 复制 到 公用 文件 夹 ， 仍 然 可 以 通过 共享 文件 夹 〈shared folder) 的 方式 将 文 
件 共 享 给 网 络 上 的 其 他 用 户 。 当 将 某 个 文件 夹 〈 例 如 图 8-2-1 中 的 Database) 设置 为 共享 文件 
夹 后 ， 用 户 就 可 以 通过 网 络 来 访问 此 文件 夹 内 的 文件 、 文 件 夹 等 〈 当 然 用 户 要 拥有 适当 的 权 
限 ) 。 
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当 Database 被 设置 为 共享 文 


件 夹 后 ， 网 络 上 具备 权限 的 
用 户 就 可 以 通过 网 络 来 访问 
Database 下 所 有 的 文件 夹 与 
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上。 位 于 ReFS、NTFS、FAT32、FAT 或 exEAT 磁 盘 内 的 文件 夹 ， 都 可 以 被 设置 为 共享 文件 
| 卖 ， 然 后 通过 共享 权限 限制 网 络 用 户 的 访问 。 


网 络 用 户 必 须 拥 有 适当 的 共享 权限 才 可 以 访问 共享 文件 夹 。 表 8-2-1 列 出 共享 权限 的 种 类 
与 其 所 具备 的 访问 能 力 。 


共享 权限 只 对 通过 网 络 访问 此 共享 文件 来 的 用 户 有 约束 力 ， 如 果 用 户 由 本 地 登录 ， 也 就 
是 直接 在 计算 机 前 按 加 上 + 国 目 + 加 加 键 登录 ， 就 不 受 此 权限 的 约束 。 


表 8-2-1 


| 查看 文件 名 与 子 文件 夹 名 称 ， 查 看 文件 内 的 数据 ， 执 行程 序 | 查看 文件 内 的 数据 ; 执行 程序 瑟瑟 了 医 si 莉 站 全 和 珀 
| 攻 改 权限 〈 只 适用 于 NTFS、ReFS 内 的 文 伯 或 Xf 炎 | | | | 


位 于 FAT、FAT32 或 exFAT 磁 盘 内 的 共享 文件 夹 ， 由 于 没有 ReFS、NTFS 权 限 的 保护 ， 同 
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时 共享 权限 对 本 地 登录 的 用 户 没 有 约束 力 ， 这 种 情况 下 如 果 用 户 直接 在 本 地 登录 的 话 ， 他 将 
可 以 访问 FAT、FAT32 与 exFAT 磁 盘 内 的 所 有 文件 。 因 此 若 磁 盘 文 件 系统 为 FAT、FAT32 或 ， 
exFAT， 建 议 不 要 随意 让 用 户 具 备 允 许 本 地 登录 的 权限 〈 昂 第 11 章 的 说 明 ) 。 


如 果 网 络 用 户 同时 隶属 于 多 个 组 ， 他 们 分 别 对 某 个 共享 文件 夹 拥有 不 同 的 共享 权限 ， 则 
该 网 络 用 户 对 此 共享 文件 夹 的 有 效 共享 权限 将 会 是 什么 呢 ? 


权限 具有 累加 性 


网 络 用 户 对 共享 文件 夹 的 有 效 权限 是 其 所 有 权限 来 源 的 总 和 ， 例如 用 户 A 同 时 属于 业务 | 
部 与 经 理 组 ， 其 共享 权限 分 别 如 表 8-2-2 所 示 ， 则 用 户 A 最 后 的 有 效 共 享 权限 为 这 3 个 权限 的 总 ， 
和 ， 也 就 是 读 取 + 更 改 = 更改。 


“拒绝 ”权限 的 优先 级 高 


虽然 用 户 对 某 个 共享 文件 夹 的 有 效 权限 是 其 所 有 权限 来 源 的 总 和 ， 但 只 要 其 中 有 一 个 权 
限 来 源 被 设置 为 拒绝 的 话 ， 则 用 户 将 不 会 拥有 访问 权限 。 例 如 如 果 用 户 A 同 时 属于 业务 部 与 
经 理 组 ， 且 其 共享 权限 分 别 如 表 8-2-3 所 示 ， 则 用 户 A 最 后 的 有 效 共 享 权限 为 拒绝 访问 。 


由 前 面 两 个 例子 可 看 出 ， 未 指定 与 拒绝 访问 对 最 后 的 有 效 权限 有 不 同 影响 ， 未 指定 并 不 
参与 累加 的 过 程 ， 而 拒绝 访问 在 累加 的 过 程 中 会 覆盖 所 有 其 他 的 权限 来 源 。 


共享 文件 夹 的 复制 或 剪 切 
如 果 将 共享 文件 夹 复制 到 其 他 磁盘 分 区 内 ， 则 原始 文件 夹 仍然 保留 共享 状态 ， 但 是 复制 
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9 那 一 份 新 文件 夹 并 不 会 被 设置 为 共享 文件 夹 。 如 果 将 共享 文件 夹 前 切 到 其 他 磁盘 分 区 内 ， 
则 此 文件 夹 将 不 再 是 共享 的 文件 来 


与 NTFS (或 ReFS) 权限 配合 使 用 


如 果 共享 文件 夹 位 于 NTFS 〈 或 ReFS) 磁盘 内 ， 那 么 还 可 以 设置 此 文件 夹 的 NTFS 权 限 ， 
以 便 能 够 进一步 增加 其 安全 性 。 当 将 文件 夹 设置 为 共享 文件 夹 后 ， 网 络 用 户 可 以 通过 网 络 发 
现 与 访问 此 共享 文件 夹 ， 但 是 用 户 到 底 有 没有 权限 访问 此 文件 夹 ， 取 次 于 共享 权限 与 NTFS 权 
限 两 者 的 具体 设置 。 

网 络 用 户 最 后 的 有 效 权 限 是 共享 权限 与 NTFS 权 限 两 者 之 中 最 严格 〈most restrictive) 的 
设置 。 例 如 ， 经 过 累加 后 ， 用 户 A 对 共享 文件 夹 CNTest 的 有 效 共 享 权限 为 读 取 ， 另 外 经 过 黑 
加 后 ， 若 用 户 A 对 此 文件 夹 的 有 效 NTFS 权 限 为 完全 控制 ， 如 表 8-2-4 所 示 ， 则 用 户 A 对 CNTest 
的 最 后 有 效 权限 为 两 者 之 中 最 严格 的 读 取 。 


若 用 户 A 是 直接 由 本 地 登录 ， 而 不 是 通过 网 络 登录 ， 则 用 户 A 对 CTest 的 有 效 权 限 是 由 
NTFS 权 限 来 决定 的 ， 也 就 是 完全 控制 ， 因 为 直接 由 本 地 登录 并 不 受 共享 权限 的 约束 。 


8.3 共享 文件 夹 的 创建 与 管理 


隶属 Administrators 组 的 用 户 有 具备 将 文件 夹 设 置 为 共享 文件 夹 的 权限 。 


LSTEP 回 单 击 左 下 角 开 始 图 标 田 2 打 开 文 件 资源 管理 器 纪 单 击 此 电脑 坊 磁 盘 ( 例如 C: ) 2 如 图 
8-3-1 所 示 选 中 文件 夹 ( 例如 DataBase ) 后 右 击 人 共享 人 特定 用 户 。 
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STEP 图 被 选择 的 用 户 或 组 的 默认 共享 权限 为 读 取 ， 如 果 要 更 改 权限 ， 如 图 8-3-3 所 示 单 击 
用 户 右 侧 向 下 的 箭头 ， 然 后 从 显示 的 列表 中 选择 权限 ， 完 成 后 单 击 嗣 误 接 钮 。 
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1. 当 设 置 共享 权限 时 ， 系 统 会 将 共享 权限 设置 为 “Everyone 为 完全 控制 ”， 同 时 也 将 


NTFS |( ReFS ) 权限 设置 为 所 指定 的 共享 权限 。 


2 如果 此 计算 机 的 网 络 位 置 为 公用 网 络 ， 则 会 要 求 选择 是 否 要 在 所 有 公用 网 络 启用 网 络 
发 现 与 文件 共享 。 如 果 选 择 否 ， 此 计算 机 的 网 络 位 置 会 被 更 改 为 专用 。 


STEP 四 。 出 现 你 的 文件 夹 已 共享 界面 时 单 击 二 测 按 钮 。 


如 果 用 户 账户 控制 设置 的 更 改 设置 为 未 选择 从 不 通知 ， 并 且 操 作用 户 不 是 系统 管理 员 的 
话 ， 则 在 图 8-3-3 中 单 击 喘 训 按 钮 后 ， 系 统 会 要 求 输入 系统 管理 员 账 户 与 密码 后 才 可 以 将 文件 


若 用 户 账 户 控制 设置 的 更 改 设置 为 从 不 通知 ， 并 且 操 作用 户 不 是 系统 管理 员 的 话 ， 则 系 
统 会 直接 拒绝 将 文件 夹 共享 。 


更 改 用 户 账户 控制 设置 的 更 改 设置 方法 为 : 【 单 击 左下 角 开 始 图 标 田 2 控制 面板 2 用 户 
账户 用 户 账 户 2 更 改 用 户 账户 控制 设置 】， 完 成 后 需 重新 启动 计算 机 。 


在 第 1 次 将 文件 夹 共享 后 ， 系 统 就 会 启用 文件 和 打印 机 共享 ， 可 以 通过 【 单 击 左下 角 开 
， 始 图 标 田 2 控制 面板 纺 网 络 和 Internet 人 网 络 和 共享 中 心 3 更 改 高 级 共享 设置 】 来 查看 此 设置 ， 
如 图 8-3-4 所 示 《〈 图 中 假设 网 络 位 置 是 域 网 络 ) 。 
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停止 文件 夹 共享 的 方法 为 : 习 如 图 8-3-5 所 示 选 中 共享 文件 夹 后 右 击 3 共 享 2 停止 共享 3 
选择 停止 共享 】。 


图 8-3-5 


如 果 要 更 改 共享 权限 或 添加 用 户 的 话 ， 可 选择 图 8-3-5 中 前 景 图 的 更 改 共享 权限 ， 或 直接 
选择 背景 图 中 的 特定 用 户 .……， 或 通过 【选中 共享 文件 夹 右 击 纺 属性 3 如 图 8-3- 6 单 击 共享 选项 
卡 2 单 击 圈 训 按钮 】 的 方法 。 


| 
| 
图 2 
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也 可 以 单 击 图 8-3-6 下 方 的 纺 包 是 汪 掖 钮 ， 然 后 通过 图 8-3-7 来 设置 共享 权限 。 


每 一 个 共享 文件 夹 都 有 共享 名 ， 网 络 用 户 通过 共享 名 来 访问 共享 文件 夹 内 的 文件 ， 共 享 
和 村 就是 文件 名称， 全 如 六 名 称 为 Datsbase， 则 共享 名 就 是 Dalibase。 加 果 要 加 多 
个 共享 名 的 话 ， 请 单 击 图 8-3-7 中 的 库 油 按钮 。 


。 如果 共享 文件 夹 有 特殊 的 使 用 目的 ， 不 想 让 用 户 在 网 络 上 浏览 到 的 话 ， 此 时 只 要 在 共享 
名 后 加 上 一 个 $ 符号 ， 就 可 以 实现 隐藏 共享 文件 夹 的 目的 。 例 如 将 前 面 示例 中 的 共享 名 由 
”Database 改 为 Database$ 。 更 改 共 享 名 的 方法 是 在 图 8-3-7 中 单 击 辆 普 掖 钮 ， 添 加 共享 名 
Database$， 然 后 通过 单 击 员 辆 按钮 来 删除 旧 的 共享 名 Database。 

系统 已 经 自动 建立 了 多 个 隐藏 的 共享 文件 夹 ， 它 们 是 供 系统 内 部 使 用 或 系统 管理 用 的 ， 
例如 C$〈 代 表 C 磁 盘 ) 、ADMIN$ (代表 Windows Server 2016 的 安装 文件 夹 ， 例 如 
C:VWindows) 等 。 


可 以 通过 【 单 击 左下 角 开始 图 标 田 3Windows 管 理工 具 人 计算 机 管理 如 图 8-3-8 所 示 单 击 
系统 工具 之 下 的 共享 文件 夹 3 共 享 】 的 方法 来 管理 共享 文件 夹 。 图 8-3-8 中 列 出 了 现 有 共享 文 
件 夹 的 名 称 〈 包 含 C$、ADMINS$ 等 隐藏 的 共享 文件 夹 )、 文 件 夹 路 径 、 适 用 于 哪 一 种 客户 端 
来 访问 〈 例 如 Windows) 、 当 前 已 经 连接 到 此 共享 文件 夹 的 用 户 数量 等 。 
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文件 旧 。 强 作 (A) 查看 fV) 帮助 (H) 
和 吵 | 击 硬 | 四书 | 目 羡 | 台 
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如 果 有 权限 的 话 ， 也 可 以 通过 【选中 图 8-3-8 中 的 计算 机 管理 ( 本 地 ) 后 右 击 2 连接 到 另 
一 台 计 算 机 】 的 方法 来 管理 另外 一 台 计 算 机 。 


修改 与 新 建 共 享 文件 夹 
如 果 要 停止 将 文件 夹 共享 给 网 络 用 户 : 【选中 图 8-3-8 右 侧 的 共享 文件 夹 后 右 击 纺 停止 共 


享 】。 如 果 要 修改 共享 文件 夹 《例如 更 改 共 享 权限 ) : 【选中 右 侧 的 共享 文件 夹 后 右 击 3 属 
性 】。 如 果 要 新 建 共享 文件 夹 : 【选中 左 侧 的 共享 后 右 击 新 建 共享 】。 


国 2 


请 不 要 将 系统 自动 建立 的 隐藏 的 共享 文件 夹 停止 共享 ， 否 则 可 能 会 影响 系统 的 正常 运 
行 。 即 使 将 这 些 隐藏 的 共享 文件 夹 停止 共享 ， 下 次 启动 计算 机 时 ， 系 统 还 是 会 自动 将 它 
们 共享 。 


监控 与 管理 已 连接 用 户 
单 击 图 8-3-9 中 的 会 话 后 ， 就 可 以 查看 与 管理 已 经 连接 到 此 计算 机 的 用 户 。 


文件 旧 
和 中 | 直面 | E 亿 | 二 
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涪 用 户 : 连接 到 这 台 计 算 机 的 用 户 名 称 。 

站 计算 机 : 客户 端 计算 机 的 计算 机 名 或 耻 地 址 。 

涪 类 型 : 用 户 计算 机 的 操作 系统 类 型 (例如 Windows ) 。 
站 # 开 文件 : 用 户 在 这 台 计 算 机 内 已 经 打开 文件 的 数目 。 
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半 连接 时 间 : 用 户 已 持续 连接 的 时 间 。 
沁 空闲 时 间 : 用 户 仍然 处 于 连接 状态 ， 但 自从 上 次 访问 这 台 计 算 机 内 的 资源 (例如 文 
件 ) 后 ， 已 经 闲置 了 一 段 时间 没 有 再 来 访问 资源 了 。 


如 果 要 断 开 某 个 用 户 连接 : 【选中 该 用 户 后 右 击 人 关闭 会 话 】。 若 要 中 断 所 有 用 户 的 连 
| 接 ; 【选中 界面 左 侧 的 会 话 后 右 击 人 中 断 全 部 的 会 话 连接 】。 

监控 与 管理 被 打开 的 文件 

可 以 单 击 图 8-3-10 中 的 打开 的 文件 来 查看 与 管理 被 打开 的 文件 。 


_ 文 HR 各 fEIA) 查看 () 本 了 人 H) 四 
如 中 | 雪 丽 | 芭 双 | 目 而 - 
内 || 打开 文 | 


打开 文件 : 在 这 台 计 算 机 上 已 经 被 打开 的 文件 名 (或 其 他 共享 资源 的 名 称 ) 。 
访问 者 : 打开 此 文件 的 用 户 账 户 名 称 。 
类 型 : 用 户 计算 机 的 操作 系统 类 型 (例如 Windows ) 。 
# 人 锁定 : 有 的 程序 会 锁定 其 打开 的 文件 ， 此 处 表示 该 文件 被 锁定 的 次 数 。 
打开 模式 : 应 用 程序 打开 此 文件 的 访问 模式 ， 例 如 读 取 、 写 入 等 。 

如 果 要 中 断 被 用 户 打 开 的 某 个 文件 :民选 中 该 文件 后 右 击 人 将 打开 的 文件 关闭 】。 如 果 
要 中 断 被 用 户 打 开 的 所 有 文件 : 【选中 界面 左 侧 的 打开 的 文件 后 右 击 纪 与 全 部 已 打开 的 文件 
断 开 连接 】。 


区 区 EL 攻 区 


8.4 用 户 如 何 访问 网 络 公用 与 共享 文件 夹 


网 络 用 户 可 利用 以 下 几 种 方式 ， 来 连接 网 络 计算 机 并 访问 所 共享 的 公用 与 共享 文件 来 。 


如 果 客 户 端 计算 机 的 网 络 发 现 功能 尚未 启用 的 话 以 Windows 10 客 户 端 为 例 ， 可 以 通过 
【 单 击 下 方 文件 资源 管理 器 图 标 园 2 在 图 8-4-1 中 单 击 网 络 〈 如 果 出 现 网 络 警告 提示 的 话 ， 直 接 
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单 击 壬 按 钮 ) 2 单 击 上 方 的 提示 文字 来 启用 网 络 发 现 功能 《需要 具备 系统 管理 员 权限 ) 】。 


Windows 7 客户 端 用 户 可 使 用 【 开始 统计 算 机 驴 网 络 】 的 方法 。 


如 果 此 计算 机 当前 的 网 络 位 置 是 公用 网 络 的 话 〈 参 考 3.4 节 的 说 明 ) ， 会 出 现 提 示 ， 选 择 
是 否 要 在 所 有 的 公用 网 络 启用 网 络 发 现 和 文件 共享 。 如 果 选 择 否 的 话 ， 该 计算 机 的 网 络 位 置 
会 被 更 改 为 专用 ， 也 会 启用 网 络 发 现 和 文件 共享 。 

之 后 便 可 如 图 8-4-2 所 示 看 到 网 络 上 的 计算 机 ， 单 击 计算 机 ， 输 入 用 户 账 户 与 密码 后 〈 见 
后 面 的 说 明 ) ， 就 可 以 访问 此 计算 机 内 所 共享 的 共享 文件 夹 Database， 同 时 在 单 击 Users 文 件 
夹 后 ， 还 可 以 访问 公用 文件 夹 Public。 
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若 看 不 到 网 络 上 其 他 Windows 计 算 机 的 话 ， 请 检查 这 些 计算 机 是 否 已 启用 网 络 发 现 ， 并 
检查 其 Function Discovery Resource Publication 服 务 是 否 启用 ( 可 通过 【 单 击 左下 角 开 始 
图 标 田 23Windows 管理 工具 仿 服 务 】 来 查看 与 启用 此 服务 ) 。 


连接 网 络 计算 机 的 身份 验证 机 制 


。 。 当 连接 网 络 上 的 其 他 计算 机 时 ， 必 须 提供 有 效 的 用 户 账户 名 称 与 密码 ， 不 过 计算 机 会 自 
和 动 以 当前 正在 使 用 的 账户 名 称 与 密码 来 连接 网 络 计算 机 ， 也 就 是 会 以 登录 本 地 计算 机 时 所 输 
入 的 账户 名 称 与 密码 来 连接 网 络 计算 机 《如 图 8-4.3 所 示 ) ， 这 能 否 连接 成 功 ? 请 看 以 下 的 分 
区 
| 


| | 连接 网 络 计算 机 时 ， 自 动 尝试 以 登录 身份 2 
| 汉 Cindy 与 密码 12345 来 连接 此 网 络 计算 机 SS 故 


登录 身份 : Cindy 网 络 计算 机 
密码 : 12345 


图 84-3 


如 果 客 户 端 计 算 机 与 网 络 计 算 机 都 已 加 入 域 〈 同 一 个 域 或 有 信任 关系 的 不 同 域 ) ， 而 且 
和 当初 是 利用 域 用 户 账户 登录 的 话 ， 则 当 在 连接 该 网 络 计算 机 时 ， 系 统 会 自动 利用 此 账户 来 连 
接 网 络 计算 机 ， 此 网 络 计 算 机 再 通过 域 控制 器 来 确认 身份 后 就 会 被 允许 连接 该 网 络 计算 机 ， 
和 不 需要 再 自行 手动 输入 账户 与 密码 ， 如 图 8-4-4 所 示 〈 假 设 两 台 计 算 机 隶属 于 同一 个 域 ) 。 


尝试 以 登录 身份 : SAYMSNCindy 
与 密码 12345 连 接 网 络 计算 机 


登录 身份 : SAYMS\Cindy 网 络 计算 机 


密码 : 12345 
Cindy 的 用 户 名 与 密 
码 转交 给 SAYMS 域 的 


域 控制 器 进行 检查 
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如 果 客 户 端 计算 机 与 网 络 计算 机 并 未 加 入 域 ， 或 一 台 计 算 机 加 入 域 而 另外 一 台 计 算 机 没 
有 加 入 域 ， 或 分 别 隶 属于 两 个 不 具备 信任 关系 的 域 ， 这 种 情况 下 不 论 当初 是 利用 本 地 或 域 用 
户 账户 登录 ， 在 连接 该 网 络 计算 机 时 ， 系 统 仍然 会 自动 利用 此 账户 来 连接 网 络 计 算 机 。 


浊 若 该 网 络 计算 机 内 已 经 事先 建立 了 一 个 名 称 相同 的 用 户 账 户 : 
国 若 密码 也 相同 ， 则 将 自动 利用 此 用 户 账户 来 成 功 地 连接 ， 如 图 8-4-5 所 示 (以 本 地 
用 户 账户 为 例 ) 。 
国芳 密码 不 相同 ， 则 系统 会 要 求 重新 输入 用 户 名 与 密码 。 


Se 过 拉 由 络 计算 机 时 ， 自 动 闪 试 以 号 录 % 份 长、 
| 几 园 _cindy 与 密码 12345 来 连接 此 计算 机 SS 


通过 SAM 数 据 库 

检查 账户 密码 是 
登录 身份 : Cindy 否 正确 Cindy 
密码 : 12345 ]ackie 


图 8-4.5 


六 如果 该 网 络 计算 机 内 不 存在 一 个 名 称 相同 的 用 户 账户 : 
国 若 该 网 络 计算 机 已 启用 guest 账 户 ， 则 系统 会 自动 利用 guest 身 份 连 接 。 
国 ” 若 该 网 络 计算 机 停 用 guest 账 户 〈 默 认 值 ) ， 则 系统 会 要 求 重新 输入 用 户 名 与 密码 。 


管理 网 络 密码 


如 果 每 次 连接 网 络 计算 机 都 必须 手动 输入 账户 名 与 密码 ， 会 觉得 很 麻烦 ， 此 时 可 以 在 连 
接 网 络 计算 机 时 如 图 8-4-6 所 示 勾 选 记 住 我 的 凭据 ， 让 系统 以 后 都 通过 这 个 用 户 账 户 与 密码 来 
连接 该 网 络 计 算 机 。 


国 >> 
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如 果 要 更 进一步 管理 网 络 密码 : 【打开 控制 面板 23 用户 账 户 3 单 击 管理 你 的 凭据 之 下 的 
Windows 和 凭据 2 通过 图 8-4-7 来 管理 网 络 密码 〗】， 例 如 通过 编辑 来 更 改 账 户 与 密码 、 通 过 删除 
来 删除 账户 与 密码 、 通 过 右 侧 添加 Windows 和 凭据 来 新 增 连 接 其 他 网 络 计算 机 的 账户 与 密 
码 等 。 


可 以 利用 一 个 驱动 器 号 来 固定 连接 网 络 计算 机 的 共享 文件 夹 : 了 如 图 8-4-8 所 示 在 网 络 上 
选中 共享 文件 夹 后 右 击 纺 映射 网 络 驱动 器 】。 


接着 会 出 现 如 图 8-4-9 所 示 的 界面 。 
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站 驱动 器 : 此 处 请 选择 要 用 来 连接 共享 文件 夹 的 驱动 器 号 ， 您 可 以 使 用 任何 一 个 尚未 
被 使 用 的 驱动 器 号 ， 例 如 图 中 选择 驱动 器 号 Z: 。 

虽 文件 夹 : 它 是 共享 文件 夹 的 UNC ( Universal Naming Convention ) 路 径 ， 也 就 是 \ 计 
算 机 名 称 \ 共 享 名 ， 例 如 \Server2\Database， 其 中 Server2 为 计算 机 名 称 ， 而 Database 为 
文件 夹 的 共享 名 。 图 8-4-9 中 是 针对 共享 文件 夹 Database 来 设置 的 ， 因 此 会 自动 填 入 
此 路 径 。 如 果 是 通过 【在 文件 资源 管理 器 中 选中 着 网 络 后 右 击 驴 映 射 网 络 驱动 器 】 
来 设置 的 话 ， 则 需要 自行 输入 路 径 或 者 单 击 调 呈 | 按 包 来 选择 。 若 Server2 已 加 入 域 ， 
也 可 以 输入 包含 域名 的 完整 计算 机 名 称 ， 例 如 \server3.sayms.local\Database， 其 中 的 
Sayms.local 为 域名 。 

包 登 录 时 重新 连接 : 表示 以 后 每 次 登录 时 系统 都 会 自动 利用 所 指定 的 驱动 器 号 来 连接 
此 共享 文件 夹 。 


完成 连接 网 络 驱动 器 的 操作 后 ， 就 可 以 通过 该 驱动 器 号 来 访问 共享 文件 夹 内 的 文件 ， 如 
图 8-4-10 所 示 的 Z : 磁盘 驱动 器 。 


刷 wernae 一 
主页 ”共享 ”音效 管理 所 
~ 个 | 最 3 4 和 阅 ，DotabacefNsewe 冯 四 ，  ，、、、 v| 忆 | | 撤 家 Dotabone seve 可 人 -用 
修改 日 期 
2017111U25 13:40 ”文件 去 
2017711125 13:40 ”文件 类 
2017/11125 13:40 文件 夹 
20177125 1340 文件 夹 | 
201617116 21:18 安装 信息 
201617116 21:18 。 安 半 信息 
20177IT13 2155 。 取 闹 译 的 | 
201617116 21:17。。” 安 于 信 息 
2016/12/14 1838 。 安装 信息 
2017/1125 13:16 。 预 病 泽 的 


2016/7116 21:18 ”安装 信 
201711H13 21.55 
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其 余 两 个 在 图 8-4-9 界 面 下 半 段 的 设置 为 : 

浊 使 用 其 他 凭据 连接 ;: 如 果 当 前 的 用 户 账户 没有 权限 连接 此 共享 文件 夹 的 话 ， 则 可 以 
通过 此 处 改 用 其 他 账户 名 称 和 密码 。 当 出 现 图 8-4-11 所 示 的 界面 时 ， 输 入 另 一 个 账号 
名 与 密码 。 
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连接 到 可 用 于 存储 文档 和 图 片 的 网 站 : 利用 它 来 建立 网 络 快捷 方式 ， 以 便 通过 此 快 
捷 方式 来 访问 共享 文件 来 内 的 文件 〔 客 户 端 计算 机 需要 可 以 连接 到 Internet ) 。 出 现 
图 8-4-12 后 ， 请 在 Internet 地 址 或 网 络 地 址 处 输入 UNC 路 径 (例如 图 8-4-12 中 的 
NServer2\Database ) 或 利用 辆 国 按 妞 来 选择 ， 然 后 在 下 一 个 界面 中 为 其 设置 一 个 名 
称 。 完 成 后 ， 就 可 通过 文件 资源 管理 器 (如 图 8-4-13 所 示 ) 来 访问 该 共享 文件 夹 内 的 


在 图 8-4-12 中 ，Internet 或 网 络 地 址 处 也 可 以 利用 URL 路 径 来 连接 到 网 站 内 的 文件 夹 ， 例 
如 http:/www.sayms.localdata ， 或 是 连接 到 FTP 服 务 器 内 的 文件 来， 例如 
ftp://server1.sayms.local/pictures。 
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2017/11725 1346 
a917111/25 13:40 
2017111/25 13:40 
20177H1725 43 
201617116 21:18- 
2016/7116 21:18 


20171T1113 2155 
2016/7/16 21:17 

2016/12114 18:38 
2017111125 13:16 


二 


您 可 以 通过 【 按 可 + 国 键 2 输 入 命令 】 来 连接 共享 文件 夹 ， 例 如 


习 输入 UNC 路 径 : 例如 输入 \Server3\Database， 控 国 图 使 ， 之 后 界面 中 就 会 显示 该 共 ， 
享 文件 夹 内 的 文件 〈 可 能 需要 输入 用 户 账 户 名 与 密码 ) 。 


外 执行 NET USE 命 令 : 例如 执行 NET USE Z: \NServer3\Database 命令 后 ， 它 就 会 以 
驱动 器 号 Z: 来 连接 共享 文件 夹 \Server3\Database。 


若 要 断 开 网 络 驱动 器 连接 的 话 : 如 图 8-4-14 所 示 选 中 网 络 驱 动 器 后 右 击 人 断 开 连 接 ， 也 
可 以 利用 NET USE Z: /Delete 命 令 。 
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用 脱 机 文件 


如 果 你 的 计算 机 是 位 于 公司 内 部 的 话 ， 它 应 该 可 以 正常 连接 公司 网 络 、 访 问 网 络 计 算 机 
共享 文件 夹 中 的 文件 〈 以 下 简称 网 络 文件 ) ， 如 图 8-5-1 所 示 。 


通过 局 域 网 访问 网 络 文件 AAA 


NServer3\Database 


网 络 计算 机 
图 8-5-1 


然而 当 将 计算 机 《例如 笔记 本 电脑 ) 带 离 公司 后 ， 此 时 因为 该 计算 机 并 未 连接 到 公司 网 

| 络 ， 因 而 无 法 访问 网 络 文件 ， 可 是 仍然 需要 访问 网 络 文件 时 ， 该 怎么 办 呢 ? 脱 机 文件 

(Coffine files) 可 以 解决 此 问题 ， 它 让 计算 机 在 与 公司 内 部 局 域 网 未 连接 的 情况 下 《〈 脱 

机 ) ， 仍 然 可 以 访问 原 槛 位 于 网 络 计算 机 内 的 文件 ， 如 图 8-5-2 所 示 ， 用 户 在 脱 机 的 情况 下 ， 

其 所 访问 的 文件 并 不 是 真正 位 于 网 络 计算 机 内 的 文件 ， 而 是 存储 在 本 地 计算 机 硬盘 内 的 缓存 
副本 〈cache version) 。 


离线 时 无 法 访问 网 络 文件 


离线 时 访问 缓存 
区 中 的 文件 副本 


网 络 计 算 机 
本 地 硬盘 内 的 缓存 区 


图 8-5-2 


这 里 对 脱 机 文件 的 工作 原理 进行 说 明 。 当 在 正常 连接 的 情况 下 〈online) 连接 到 网 络 计算 
机 ， 并 将 所 选择 的 文件 设置 为 始终 脱 机 可 用 后 ， 这 个 文件 将 被 复制 一 份 到 客户 端 计算 机 的 硬 
盘 内 。 在 正常 联网 的 情况 下 ， 客 户 端 计 算 机 所 访问 的 文件 是 位 于 网 络 计算 机 中 的 文件 ， 而 在 
客户 端 计算 机 与 网 络 计算 机 之 间断 开 连 接 的 时 候 ， 仍 然 可 以 正常 访问 这 个 文件 ， 就 像 网 络 未 
断 开 一 样 ， 不 过 此 时 所 访问 的 文件 是 位 于 本 机 计算 机 硬盘 内 的 缓存 版 本 。 对 此 缓存 文件 的 权 
限 与 位 于 网 络 计算 机 内 的 文件 是 相同 的 。 
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当 客户 端 计算 机 恢复 与 网 络 计算 机 连接 后 ， 网 络 文件 与 缓存 文件 之 间 必 须 同 步 ， 以 确保 
两 处 的 文件 是 一 致 的 : 

当 如 果 更 改过 缓存 文件 的 内 容 ， 但 是 网 络 文件 的 内 容 并 没有 被 更 改过 ， 系 统 会 将 缓存 
文件 复制 到 网 络 计算 机 ， 并 履 盖 掉 网 络 文件 。 

党 如 果 没有 更 改 缓存 文件 的 内 容 ， 但 是 网 络 文件 的 内 容 被 更 改过 ， 则 系统 会 将 网 络 文 
件 复 制 到 本 地 计算 机 ， 并 履 盖 掉 缓 存 文 件 。 

间 如 果 网 络 文件 与 缓存 文件 都 被 更 改过 ， 则 系统 会 提示 选择 要 保留 哪 一 个 文件 ， 或 对 
两 个 文件 都 进行 保留 。 


8.5.1 网 络 计算 机 端的 脱 机 文 


网 络 计算 机 的 文件 夹 必 须 是 共享 文件 夹 才 具备 被 脱 机 使 用 的 功能 ， 【打开 文件 资源 管理 
器 2 此 电脑 2 选中 共享 文件 夹 后 右 击 2 属 性 3 如 图 8-5-3 所 示 单 击 共享 选项 卡 下 的 希 颖 泗 吸 按 ， 
轿 铺 按钮 2 通过 前 景 图 来 设置 】。 


仅 用 户 指定 的 文件 和 程序 可 以 脱 机 使 用 : 用 户 必 须 自行 从 共享 文件 夹 内 选择 希望 被 
缓存 到 其 硬盘 的 文件 ， 只 有 被 选择 的 文件 才 可 以 脱 机 使 用 。 

浊 该 共享 文件 夹 中 的 文件 或 程序 在 脱 机 状态 下 不 可 用 : 表示 此 共享 文件 夹 不 提供 脱 机 
使 用 的 功能 。 

学 用 户 从 该 共享 文件 天 打开 的 所 有 文件 和 程序 自动 在 脱 机 状态 下 可 用 : 只 要 是 用 户 在 
共享 文件 夹 内 访问 过 的 文件 ， 就 会 自动 被 缓存 到 用 户 的 硬盘 内 供 脱 机 使 用 。 
选取 进行 性 能 优化 后 会 自动 将 程序 ( .exe 或 .dll 等 ) 缓存 到 用 户 的 硬盘 内 ， 以 便 用 户 
要 执行 网 络 计 算 机 内 的 程序 时 可 以 直接 读 取 缓 存 版 本 ， 它 可 减少 网 络 负载 、 加 快 程 
序 的 执行 。 此 选项 特别 适合 于 存放 应 用 程序 的 服务 器 来 使 用 。 
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注意 若 客户 端 修改 了 缓存 内 的 应 用 程序 (例如 感染 病毒 ) ， 则 同步 后 将 造成 网 络 计 
算 机 端的 应 用 程序 也 被 修改 ， 因 此 建议 应 用 程序 文件 不 要 开放 修改 权限 。 


上。 一 旦 网 络 计算 机 内 的 共享 文件 来 被 设置 为 可 以 脱 机 使 用 后 ， 客 户 端的 网 络 用 户 就 可 以 将 
| 其 缓存 到 硬盘 内 供 脱 机 访问 。 


启用 脱 机 文件 
不 同 客户 端的 脱 机 文件 分 别 有 着 不 同 的 默认 值 ， 启 用 的 方法 也 不 尽 相 同 : 


| 归 Windows 10、Windows 8.1、Windows 8: 按时 键 切 换 到 开始 菜单 纺 控 制 面板 令 将 右 
上 方 的 查看 方式 改 为 大 图 标 或 小 图 标 卫 单 击 同步 中 心 也 单 击 图 8-5-4 中 管理 脱 机 文 
| 件 、 单 击 喘 请 纹 钢 汪 鱼 控 锯 忆 完 成 后 按照 提示 重新 启动 计算 机 。 

| 四 Bt SF 

| -不 罗 ， 到 大 医 所 有 过 画板 页 同步 中 必 局 | 入 家 | 同 几 让 克 更 


图 8-54 


站 Windows 7、Window Vista: 默认 已 经 启用 。Windows 7 的 设置 方法 与 Windows 10 类 
似 。Windows Vista 的 设置 方法 为 【开始 令 控 制 面板 念经 典 视图 驴 脱 机 文件 】。 

习 Windows Server 2016: 与 Windows 10 计 算 机 相同 。 

站 Windows Server 2012 (R2) 、Windows Server 2008 R2: 需要 先 通过 服务 器 管理 器 
来 添加 桌面 体验 功能 ， 如 图 8-5-5 所 示 为 Windows Server 2012 R2 的 界面 ， 安 装 完成 后 
需要 重新 启动 计算 机 。 接 下 来 的 启用 方式 与 Windows 10 类 似 。 

站 Windows Server 2008: 需 另 外 启用 ，【【 开 始 信 控制 面板 驴 脱 机 文件 忆 在 图 8-5-6 中 单 

启用 有 于 按钮 人 按照 提示 重新 启动 计算 机 】。 
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8-5-6 
选择 可 脱 机 使 用 的 文件 


以 下 假设 网 络 计 算 机 的 共享 文件 夹 为 \Server3\Database， 其 脱 机 设置 为 仅 用 户 指定 的 文 
件 和 程序 可 以 脱 机 使 用 ， 此 时 用 户 必 须 在 客户 端 自行 选择 需要 脱 机 使 用 的 文件 〈 假 设 为 
Confidential) 。 假 设 客户 端 为 Windows 10。 


STEP 回 ”可 先 利用 网 络 驱动 器 连接 网 络 计 算 机 的 共享 文件 夹 ， 假 设 是 利用 磁 盘 驱动 器 Z: 来 上 
连接 NServer3\Database ( 或 是 建立 连接 到 此 共享 文件 夹 的 快捷 方式 ) 。 
STEP 如 图 8-5-7 所 示 选 中 网 络 文件 Confidential 后 右 击 仿 始终 脱 机 可 用 。 


凶 | 加 周 :>|1database NServer3 
5 _ 关 字 下 本 了 
4 3 v 不 | 量 ， 此 R 戎 ，database NServera 区 va] | 坦 daabase NSeveB CC P 


需 快速 访问 


印 此 电 防 
故 祝 甩 
碘 ; 画 片 
围 文档 
曙 下 载 
小 音乐 
轿 点 本 
尖 本 地 山 盘 (cj 


奖 型 站 


加 usbhbab 
19 个 项 目 ”选中 T 个 项 目 0 部 节 


同步 处 理 


在 网 络 连接 正常 时 ， 用 户 所 访问 的 文件 仍然 是 网 络 计算 机 中 的 文件 。 系 统 会 自动 同步 用 
户 的 脱 机 文件 ， 当 网 络 文件 内 容 发 生变 化 时 ， 它 会 被 复制 到 用 户 计算 机 的 缓存 区 ， 反 之 亦 
然 。 系 统 并 非 随时 自动 同步 ， 如 果 需 要 立即 手动 同步 的 话 : 【如 图 8-5-8 所 示 选 中 文件 后 右 
击 ， 选 择 同 步 福 同步 所 选 脱 机 文件 】， 或 是 【选中 文件 后 右 击 ， 选 择 属性 驴 脱 机 文件 选项 卡 ” 
3 立即 同步 】。 
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至 | 加 届 : ;database (VServer3) DC 全 口 关 
主轴 。 共享。 坦 生 - 轿 
4 、 个 至 ，H8 陪 ，database 人 NServer) 四 ， 可 | 合 东 datbbase (NServer) (万 


如 果 客 户 端 计算 机 与 网 络 计算 机 处 于 正常 连接 状态 ， 但 是 连接 速度 却 很 慢 的 话 ， 此 时 客 
户 端 会 自动 切换 到 脱 机 模式 ， 使 得 用 户 可 以 快速 地 直接 编辑 本 地 缓存 区 内 的 文件 副本 ， 而 且 
客户 端 也 会 定期 自动 与 网 络 计算 机 同步 。 客 户 端 计算 机 会 定期 检查 其 与 网 络 计 算 机 的 连接 速 
度 是 否 恢复 正常 ， 如 果 恢 复 正 常 ， 它 会 自动 切换 为 在 线 模式 。 


Windows Vista 与 Windows Server 2008 客 户 端 默认 并 不 会 自动 在 低速 连接 的 情况 下 自动 切 
换 到 脱 机 模式 ， 但 是 可 以 通过 组 策略 ( 详 见 第 11 章 ) 来 设置 : 【计算 机 设置 令 管 理 模板 
2 网 络 脱 机 文件 设 置 慢 速 连接 模式 】， 并 通过 Throughput ( 传输 量 ) 与 latency ( 延 
迟 时 间 ) 来 设置 “ 慢 速 ”的 标准 。 


用 户 也 可 以 通过 同步 中 心 来 进一步 管理 同步 工作 : 【打开 控制 面板 仿 将 右上 方 的 查看 方 
式 改 为 大 图 标 或 小 图 标 纺 单 击 同步 中 心 23 通 过 图 8-5-9 的 界面 管理 同步 工作 】。 

用 户 还 可 以 【 单 击 图 8-5-9 左 下 方 的 管理 脱 机 文件 2 然后 通过 图 8-5-10 的 界面 打开 同步 中 
心 】， 使 用 者 也 可 以 通过 此 界面 来 检视 脱 机 档案 。 


图 Rd 下 旺 
《4 -~ 个 图 ，3 和 面板 ， 所 有 过 制 本 板 项》 同步 中 心 。 。 v] 忆 | | 六 过 局 上 hu， ， 巍 


控制 赐 梳 主 页 保持 信息 同步 
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用 户 还 可 以 通过 图 8-5-10 中 的 磁盘 使 用 情况 选项 卡 来 设置 脱 机 文件 缓存 区 的 容量 、 通 过 
加 密 选 项 卡 对 缓存 区 内 的 脱 机 文件 加 密 、 通 过 网 络 选项 卡 设置 检查 慢 速 连接 的 间隔 时 间 让， 
( 默认 为 $ 分 钟 ) ， 以 便 自动 进入 脱 机 模式 。 


测试 脱 机 文件 是 否 正常 工作 


当 用 户 的 计算 机 脱 机 时 ， 比 如 将 笔记 本 电脑 带 离 办 公 室 〈 可 以 通过 将 网 卡 禁 用 的 方式 来 
模拟 脱 机 》， 用 户 在 网 络 上 所 看 到 的 网 络 文件 会 类 似 图 8-5-11 的 界面 ， 他 仍然 可 以 访问 脱 机 
文件 Confidential〈 前 面 图 标 有 双 箭 头 ) ， 但 它 是 位 于 本 地 计算 机 内 的 缓存 版 本 。 2 
问 其 他 不 能 脱 机 使 用 的 文件 《前 面 图 标 有 X 符 号 ) 。 


莹 | 回国 >1database(Nserver3) (加 


| | [本 家 database 人 Nserver3) 内 | 


19 个 项 目 《选中 1 个 项 目 25 字 节 
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如 果 用 户 更 改过 脱 机 文件 的 内 容 ， 则 当 用 户 将 计算 机 重新 连接 后 ， 通 过 同步 操作 就 可 以 
将 这 个 新 文件 复制 到 网 络 计算 机 ， 并 覆盖 掉 网 络 文件 。 
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如 果 网 络 文件 与 缓存 文件 都 被 更 改过 ， 则 系统 会 通过 屏幕 右 下 角 的 同步 中 心 图 标 合 来 提 
醒 用 户 有 训 突 发 生 《〈 可 能 需 单 击 向 上 箭头 才 看 得 到 此 图 标 ) ， 此 时 【请 单 击 图 标 纺 单 击 图 8- 
5-12 中 的 查看 同步 冲突 己 从 中 查看 有 冲突 的 文件 3 选 择 冲 突 文 件 单 击 解决 3 通过 图 8-5-13 来 
选择 要 保留 哪 一 个 文件 或 保留 这 两 个 版 本 《其 中 一 个 文件 会 被 改名 ) 】 《也 可 以 在 文件 资源 
管理 器 中 选中 该 文件 后 右 击 ， 选 择 同步 写 同 步 所 选 脱 机 文件 】 的 方法 来 直接 显示 图 8-5-13 的 
界面 ) 。 


这 会 计算 机 上 
大 小 50 字 节 


修改 日 期 : 2017-11-25 17:32 蕉 新 ) 


一 保留 这 两 个 版 本 
(将 晤 高 版 本 重 命名 为 "Confidential (isha v])-bt7 


8-5-13 


8.6 卷 影 副 本 
可 以 通过 共享 文件 夹 的 卷 影 副 本 〈Shadow Copies of Shared Folders) 功能 ， 让 系统 自动 


在 指定 时 间 将 所 有 共享 文件 夹 内 的 文件 复制 到 另外 一 个 存储 区 域内 备用 ， 这 个 存储 区 域 被 称 
为 卷 影 副本 存储 区 域 。 如 果 用 户 将 共享 文件 夹 内 的 文件 误 删除 或 误 修改 后 ， 想 要 恢复 或 还 原 
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原始 文件 的 话 ， 可 以 通过 卷 影 副 本 存储 区 内 的 备份 文件 进行 恢复 ， 如 图 8-6-1 所 示 。 


访问 公用 文件 夹 内 的 文件 


NE 磁盘 内 的 卷 影 副 本 存储 区 
卷 影 副 本 一 : 2017711/1 上 午 01 : 
公用 文件 夹 内 的 文件 被 误 修 改 、 卷 影 副本 二 : 2017/11/1 上 午 11 : 


误 删 除 时 ， 可 以 从 卷 影 副本 存 三 : 
储 区 取得 该 文件 以 前 的 版 本 卷 影 副 本 三 : 9 下 午 04 : 


共享 文件 夹 所 在 的 网 络 计算 机 ， 启 用 共享 文件 夹 的 卷 影 副 本 功能 的 方法 为 : 【打开 文件 
资源 管理 器 3 单 击 此 电脑 选中 任 一 磁盘 右 击 纺 属性 2 如 图 8-6-2 所 示 选 择 要 启用 卷 影 副本 的 
磁盘 2 单 击 转 避 按钮 2 单 击 因 按钮 】。 


系统 默认 将 卷 影 副 本 存储 区 建立 在 启用 卷 影 复制 的 磁盘 内 ， 但 这 不 是 最 佳 做 法 ， 因 为 会 
增加 该 磁盘 的 负担 、 降 低 系 统 效率 ， 最 好 是 将 卷 影 副 本 存储 区 建立 到 另外 一 个 未 启用 关 
影 副本 的 磁盘 内 ( 通过 背景 图 中 的 冉 一 按钮 ) 。 背 景 图 中 另 一 个 以 \? 开 头 的 磁盘 是 存储 
启动 文件 的 系统 磁盘 。 
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启用 时 会 自动 为 该 磁盘 建立 第 一 个 卷 影 副 本 ， 也 就 是 将 该 磁盘 内 所 有 共享 文件 夹 内 的 文 
入 都 复制 到 卷 影 副 本 存储 区 内 ， 而 且 默 认 以 后 会 在 星期 一 到 星期 五 的 上 午 7:00 与 下 午 12:00 两 
东 时 间 点 分 别 自动 新 建 一 个 卷 影 副 本 。 

图 8-6-3 中 的 C: 磁 盘 已 经 有 两 个 卷 影 副 本 ， 也 可 以 单 击 开 全 天 | 掖 钮 来 手动 建立 新 的 卷 影 
副本 。 用 户 在 还 原文 件 时 ， 可 以 选择 在 不 同时 间 点 所 建立 的 卷 影 副本 内 的 旧 文 件 来 还 原文 
件 。 


| 和 痊 耻 人 加 志 ”汉王 
他 全 aeaaadaamesca 
| 2017711/25 19:41 
2017/11725 19:34 
人 | 
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卷 影 副本 内 的 文件 只 能 读 取 ， 不 能 修改 ， 而 且 每 一 个 磁盘 最 多 只 可 以 有 64 个 卷 影 副本 ， 
若 达到 此 限制 的 话 ， 最 旧 的 卷 影 副 本 会 被 删除 。 


如 果 要 设置 卷 影 副 本 存储 区 的 容量 大 小 ， 单 击 图 8-6-3 中 的 功 呈 按 钮 ， 然 后 通过 图 8-6-4 的 
最 大 值 来 更 改 设置 ， 也 可 以 单 击 员 贡 按钮 来 更 改 自动 建立 卷 影 副 本 的 时 间 点 。 还 可 以 通过 存储 
区 域 来 更 改 存储 卷 影 副 本 的 磁盘 ， 不 过 必须 在 启用 卷 影 副 本 前 更 改 ， 启 用 后 就 无 法 更 改 了 。 
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下 面 利 用 Windows 10 客 户 端 来 说 明 。 客 户 端 用 户 通 过 网 络 连接 共享 文件 夹 后 ， 如 果 误 改 
了 某 网 络 文件 的 内 容 ， 此 时 可 以 通过 以 下 步骤 来 恢复 原文 件 的 内 容 : 【选中 此 文件 〈 久 
Confidential 为 例 ) 后 右 击 3 还 原 以 前 的 版 本 人 如 图 8-6-5 所 示 在 以 前 的 版 本 选项 卡 下 ， 从 文件 
版 本 处 选择 旧版 本 的 文件 3 单 击 辆 蛮 掖 钮 】。 图 8-6-5 中 文件 版 本 处 显示 了 位 于 三 个 卷 影 副 本 中 
的 旧 文件 ， 用 户 可 自行 决定 要 利用 哪 一 个 卷 影 副本 中 的 旧 文 件 来 还 原文 件 ， 也 可 以 通过 短 普 护 
钮 来 查看 旧 文件 的 内 容 或 利用 鼠标 右 击 文件 ， 在 弹出 的 快捷 菜单 中 选择 复制 的 方法 来 复制 文件 。 
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如 果 要 还 原 被 删除 的 文件 ， 请 在 连接 到 共享 文件 夹 后 【选中 文件 列表 界面 中 的 空白 区 域 
击 3 属 性 2 如 图 8-6-6 所 示 选 择 以 前 的 版 本 选项 卡 2 选 择 旧版 本 所 在 的 文件 夹 3 单 击 翻 普 护 
3 复制 需要 还 原 的 文件 】。 


2017-11-25 20:11 
2017-11-25 20:03 
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ww 


通过 Windows Server 2016 打 印 服务 器 的 打印 管理 功能 ， 不 仅 可 以 让 用 户 方便 地 打印 文 。 
还 可 以 减轻 系统 管理 员 的 负担 。 


打印 服务 器 概述 

配置 打印 服务 器 

用 户 如 何 连接 网 络 共 享 打印 机 
共享 打印 机 的 高 级 设置 
打印 机 权限 与 所 有 权 

利用 分 隔 页 来 分 隔 打 印 文件 
管理 等 待 打 印 的 文件 

与 UNIX 系 统 对 接 


长 区 区 区 区 -区 区 世 
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1 打印 服务 器 概述 


当 在 计算 机 中 安装 打印 机 并 将 其 共享 给 网 络 上 的 其 他 用 户 后 ， 这 台 计 算 机 便 扮 演 着 打印 
服务 器 的 角色 。Windows Server 2016 打 印 服务 器 具备 以 下 功能 : 


外 支持 USB、IEEE 1394 〔〈(firewire) 、 无 线 、 蓝 牙 打 印 机 、 和 包含 网 卡 的 网 络 接口 打印 
机 与 传统 IEEE 1284 并 行 接 口 等 打印 机 。 

包 支持 使 用 Web 浏 览 器 连接 与 管理 打印 服务 器 。 

匀 Windows 客户 端 连接 到 打印 服务 器 时 ， 其 所 需要 的 打印 机 驱动 程序 会 自动 由 打印 服 
务 器 下 载 并 安装 到 客户 端 计 算 机 ， 不 需要 手动 安装 。 


图 9.1-1 
我 们 先 通过 图 9-1-1 来 介绍 一 些 在 打印 上 的 术语 : 


站 物理 打印 机 : 可 以 放置 打印 纸 的 物理 打印 机 ， 也 就 是 打印 设备 。 

党 还 辑 打印 机 : 介 于 客户 端 应 用 程序 与 物理 打印 机 之 间 的 软件 接口 ， 用 户 的 打印 文件 
通过 它 发 送 给 物理 打印 机 。 
物理 或 者 逻辑 打印 机 都 可 以 被 简称 为 打印 机 ， 人 得 为 了 避免 混淆 ， 在 本 章 内 有 些 地 方 
我 们 会 用 打印 机 表示 逻辑 打印 机 、 用 打印 设备 表示 物理 打印 机 , 

沁 打印 服务 器 : 代表 一 台 计算 机 ， 它 连接 着 物理 打印 设备 ， 并 将 此 打印 设备 共享 给 网 络 用 
户 。 打 印 服务 器 负责 接收 用 户 所 发 送 来 的 文件 ， 然 后 将 它 发 送 给 打印 设备 进行 打印 。 


图 9-1-1 所 介绍 的 打印 服务 器 是 由 计算 机 来 扮演 的 ， 市 面 上 也 有 许多 打印 服务 器 产品 。 


包 _ 打 印 机 驱动 程序 : 打印 服务 器 接收 到 用 户 发 送 来 的 打印 文件 后 ， 打 印 机 驱动 程序 负 
责 将 文件 转换 为 打印 设备 能 够 辨识 的 格式 ， 然 后 送 往 打 印 设备 打印 。 不 同型 号 打印 
设备 的 打印 机 驱动 程序 不 尽 相同 。 
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9.2 配置 打印 服务 器 


可 以 选择 以 下 两 种 方式 来 搭建 打印 服务 器 : 


浊 直接 在 将 扮演 打印 服务 器 角色 的 计算 机 上 安装 打印 机 ， 并 将 其 共享 给 网 络 用 户 ， 也 
就 是 将 它 设置 为 共享 打印 机 。 

溯 在 一 台 Windows Server 计 算 机 上 添加 打印 和 文件 服务 角色 。 
它 会 顺便 安装 打印 管理 控制 台 ， 可 以 通过 此 控制 台 来 集中 管理 网 络 上 的 打印 服务 
器 ， 例 如 通过 它 来 安装 、 管 理 本 地 计算 机 与 网 络 计算 机 上 的 共享 打印 机 。 


直接 在 本 地 计算 机 安装 打印 机 ， 并 将 其 设置 为 共享 打印 机 共享 给 网 络 用 户 后 ， 它 就 是 一 ， 
台 可 以 对 用 户 提供 服务 的 打印 服务 器 。 

如 果 希 望 能 够 通过 浏览 器 来 连接 或 管理 这 人 台 打 印 服务 器 的 话 ， 需 要 增加 安装 Internet 打 
印 角色 服务 。 可 以 在 这 台 即 将 扮演 打印 服务 器 角色 的 计算 机 上 执行 以 下 步骤 ， 【打开 服务 器 
管理 器 3 单 击 仪表 板 处 的 添加 角色 和 功能 2 持续 单 击 调 国 测 按钮 一 直到 出 现 图 9-2-1 的 界面 时 
色 选 背景 图 中 的 打印 和 文件 服务 23...3 在 前 景 图 勾 选 Internet 打 印 2..….】， 它 会 同时 安装 Weh 
服务 器 (IIS) 角色 与 其 他 所 需 的 功能 。 


安装 USB、IEE1394 等 即 插 即 用 〈Plug-and-Play) 打印 机 


请 将 打印 机 连接 到 计算 机 的 USB、IEEE 1394 端 口 ， 然 后 打开 打印 机 电源 ， 如 果 系 统 支持 
此 打印 机 的 驱动 程序 的 话 ， 就 会 自动 检测 与 安装 此 打印 机 。 和 


辆 2ss 
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哎 动 程序 ， 需 要 自行 准备 好 驱动 程序 〈 一 般 是 在 打印 机 厂商 所 提供 的 光盘 内 或 通过 网 络 下 
载 ) ， 然 后 按照 界面 提示 完成 安装 工作 。 

也 可 以 直接 执行 厂商 提供 的 光盘 内 的 安装 程序 〈 或 通过 网 络 下 载 ) ， 这 种 类 型 的 安装 程 
序 通常 会 提供 比较 多 的 功能 ， 不 过 可 能 会 等 安装 程序 要 求 的 时 候 再 将 打印 机 连接 到 计算 机 的 
USB、IEEE 1394 端 口 。 


安装 传统 IEEE 1284 并 行 打印 机 


将 打印 机 连接 到 计算 机 后 侧面 板 的 并 行 端 所 ， 然 后 按照 以 下 步骤 来 安装 〈 也 可 以 直接 执 
行 三 商 提供 的 光盘 内 的 安装 程序 ) 。 


LSTEP 留 单 击 左下 角 开 始 图 标 田 3 控 制 面板 3 单 击 硬件 下 的 查看 设备 和 打印 机 单 击 上 方 的 添 
加 打印 机 。 


|STEP 回 单 击 图 9-2-2 中 的 我 所 需 的 打印 机 未 列 出 。 


| 
1 


图 9.2-2 


STEP 回 。 如 图 9-2-3 所 示 进 行 选 择 后 单 击 因 有 拉 钮 。 
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STEP 四 。 在 图 9-2-4 中 选择 打印 机 端口 ( 假设 是 LPT1: ) 后 单 击 请 国 国 坟 钮 。 


图 92-4 


STEP 回 。 在 图 9-2-5 中 选择 打印 机 制造 商 与 打印 机 型 号 后 单 击 庙 明 扩 钮 。 


图 9.2-5 


STEP 回 。 在 键入 打印 机 名 称 界面 中 直接 单 击 一 量 国 按钮 或 输入 打印 机 名 称 。 
STEP 园 。 在 图 9-2-6 设 置 打 印 机 共享 名 后 单 击 番 放 坟 钮 。 


9-26 
STEP 回 。 最 后 单 击 国 济 拉 钮 或 者 羊 击 戎 浊 关 汪汪 按钮 来 测试 是 否 可 以 正常 打印 。 


国 :4 


有 
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安装 网 络 接口 打印 机 


包含 网 卡 的 网 络 接口 打印 机 可 以 通过 网 线 直接 连接 到 网 络 。 有 的 网 络 接口 打印 机 需要 通 
过 厂商 所 附加 的 光盘 来 安装 ， 而 有 的 可 以 通过 以 下 步骤 来 安装 : 【 单 击 左下 角 开始 图 标 田 2 
控制 面板 人 单 击 硬件 下 的 查看 设备 和 打印 机 人 单 击 上 方 添加 打印 机 3 单 击 我 所 需 的 打印 机 未 
列 出 2 选择 通过 手动 设置 添加 本 地 打印 机 或 网 络 打印 机 人 在 图 9-2-7 中 选择 创建 新 端口 2 在 端 
口 类 型 处 选择 Standard TCP/IP Port 后 单 击 主 时 员 按钮 2 如 前 景 图 所 示 输 入 打印 机 主机 名 或 
下 地 址 、 设 置 端口 名 称 】， 接 下 来 的 步骤 与 添加 普通 的 并 行 打印 机 类 似 ， 例 如 安装 打印 机 驱 
动 程序 、 设 置 为 共享 打印 机 等 。 


由 于 网 络 接口 打印 机 是 连接 到 网 络 上 ， 因 此 网 络 用 户 也 可 以 直接 连接 网 络 接口 打印 机 ， 
不 需要 通过 这 全 打印 服务 器 。 


图 92-7 


将 现 有 的 打印 机 设置 为 共享 打印 机 


可 以 通过 以 下 方法 将 尚未 被 共享 的 打印 机 设置 为 共享 打印 机 : 【 单 击 左下 角 开 始 图 标 
田 2 控 制 面板 3 单 击 硬件 下 的 查看 设备 和 打印 机 忆 选 中 打印 机 右 击 人 打印 机 属性 打开 共享 选 
项 卡 仿 如 图 9-2-8 所 示 勾 选 共享 这 人 台 打 印 机 ， 并 设置 共享 名 】。 

在 AD DS 域 环境 下 ， 建 议 勾 选 图 中 的 列 入 目录 ， 以 便 将 该 打印 机 发 布 到 AD DS， 让 域 用 
户 可 以 通过 AD DS 来 找到 这 人 台 打 印 机 。 
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殉 HP Color Laserjet 9500 PCL6 Class Driver 时 性 
地。 证， 高 季 。 砚 区 理 安全 设 交 村 


| 


在 Windows Server 2016 计 算 机 上 安装 打印 和 文件 服务 时 ， 会 同时 安装 打印 管理 控制 台 ， 
可 以 通过 打印 管理 控制 台 来 安装 、 管 理 本 地 计算 机 与 网 络 计算 机 上 的 共享 打印 机 。 打 印 管理 
控制 台 的 启用 方法 为 : 【 单 击 左下 角 开 始 图 标 田 Q2 Windows 管理 工具 3 打印 管理 】， 如 图 9%- 
2-9 所 示 ， 图 中 共有 2 人 台 打 印 服务 器 Server3 与 Serverl 。 


二 


图 9.2.9 


1 
SN 自 定 义 簿 选 器 : 允许 自行 利 选 需要 显示 的 打印 机 ， 例 如 系统 自 定义 利 选 器 球 认 内 村 
了 4 个 筛选 器 分 别 用 来 显示 所 有 的 打印 机 、 打 印 机 包含 作业 (打印 文件 ) 的 打印 机 、 上 
打印 机 未 就 绪 的 打印 机 ( 例如 暂停 打印 ) 与 所 有 驱动 程序 


1. 也 可 以 在 Windows Server 2016 计 算 机 上 仅 安 装 打印 管理 控制 台 : 【打开 服务 器 管理 器 
3 添加 角色 和 功能 信 …3 在 功能 界面 下 展开 远程 服务 器 管理 工具 纺 展 开 角 色 管 理工 具 
纪 久 选 打印 和 文件 服务 工具 】。 

2， 必须 具 备 系统 管理 员 权 限 ， 才 可 以 管理 图 中 的 打印 服务 器 ， 否 则 服务 器 前 面 图 标 会 显 
示 一 个 向 下 的 红色 箭头 。 


第 9 章 打印 服务 器 的 配置 与 管理 一 


妆 打印 服务 器 : 通过 此 处 管理 打印 服务 器 (图 中 共有 2 台 打 印 服务 器 ) ， 例 如 添加 打印 
机 、 打 印 端口 、 纸 张 格 式 、 驱 动 程序 、 部 署 打 印 机 等 。 

忆 已 部 署 的 打印 机 : 可 以 通过 AD DS 域 的 组 策略 来 将 打印 机 部 署 给 域 中 的 计算 机 或 用 
户 ( 见 9.3 节 ) ， 这 些 计算 机 或 用 户 应 用 组 策略 后 ， 就 会 自动 安装 被 部 署 的 打印 机 。 
通过 组 策略 部 署 的 打印 机 会 被 显示 在 此 处 。 


9.3 用 户 如 何 连接 网 络 共 享 打印 机 


在 将 打印 机 设置 为 共享 打印 机 后 ， 用 户 就 可 以 通过 网 络 连 接 此 打印 机 、 将 文件 发 送 到 此 
打印 机 进行 打印 。 


通过 AD DS 域 的 组 策略 将 打印 机 部 署 给 域 计 算 机 或 用 户 后 ， 只 要 计算 机 或 用 户 应 用 这 个 
策略 ， 就 会 自动 为 该 计算 机 或 用 户 安装 被 部 署 的 打印 机 。 部 署 的 方法 为 : 【如 图 9-3-1 所 示 选 
中 要 被 部 署 的 打印 机 右 击 信使 用 组 策略 部 署 】， 然 后 如 图 9-3-2 所 示 【 单 击 郧 阐 按 钮 来 选择 要 
用 来 部 署 此 打印 机 的 GPO〈 以 Default Domain Policy 为 例 ) 叉 勾 选 要 部 署 给 用 户 或 计算 机 后 单 


击 斌 前 掖 钮 、 单 击 需 贡 拉 钮 】。 


般 打印 管理 
交 HD_ 强 FA 查看 MI) 帮助 H 
和 中 | 丰 司 | X 忆 | 目 曾 
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图 9.3-2 


此 示例 是 通过 域 级 别 的 Default Domain Policy 来 部 署 的， 而 且 是 部 署 给 计算 机 的 ， 因 此 域 上 
内 所 有 计算 机 只 要 应 用 此 策略 后 ， 就 会 自动 安装 此 打印 机 。 每 一 台 计 算 机 若 要 应 用 此 策略 的 ， 
话 ， 可 以 将 该 计算 机 重新 启动 ， 或 在 该 计算 机 上 手动 执行 gpupdate /force 命令， 或 等 一 段 时 。 
间 后 让 其 自动 应 用 《一 般 客户 端 计算 机 大 约 需 要 等 待 90 到 120 分 钟 ) 。 

完成 后 ，Windows Server 2016、Windows Server 2012 (R2) 的 用 户 可 通过 [ 单 击 左下 贡 
开始 图 标 田 2 控 制 面 板 纺 单 击 硬件 下 的 查看 设备 和 打印 机 】、Windows 8.1 (8) 的 用 户 可 以 通 ， 

键 忆 控 制 面板 令 单 击 硬件 下 的 查看 设备 和 打印 机 】、Windows Server 2008 R2 与 

Windows 7 的 用 户 可 以 通过 【开始 公设 备 和 打印 机 】、Windows Server 2008 与 Windows Vista 等 
用 户 可 以 通过 【开始 纪 控 制 面 板 人 打印机】 来 看 到 这 人 台 打 印 机 。 


如 果 用 户 的 计算 机 还 没有 启用 网 络 发 现 功能 的 话 ， 需 要 首先 启用 网 络 发 现 功能 ， 网 络 发 
现 的 相关 说 明 、 身 份 验证 机 制 与 网 络 密码 的 管理 等 都 已 经 在 8.4 节 介绍 过 ， 可 自行 前 往 参考 。 
以 下 假设 用 户 计 算 机 的 网 络 发 现 功能 已 经 启用 。 

客户 端 可 以 通过 文件 资源 管理 器 来 连接 网 络 共享 打印 机 ， 以 Windows 10 为 例 : 【打开 文 
件 资源 管理 器 纪 如 图 9-3-3 所 示 单 击 左 侧 共 享 打印 机 所 在 的 服务 器 纺 双 击 共享 打印 机 即 可 】， 
之 后 系统 就 会 自动 在 用 户 计算 机 内 安装 此 打印 机 。 完 成 后 ， 用 户 可 以 通过 【打开 控制 面板 
单 击 硬件 和 声音 下 的 查看 设备 和 打印 机 】 看 到 这 人 台 打 印 机 。 


列 DVD 驱动 器 (D:) SSS_X64FRE 2 


啦 网 络 
国 bfskTop-TST78VO 


STEP 回 。 打开 添加 打印 机 向 导 ; 
涪 Windows 10、Windows 8.1 (8 ) 、Windows Server 2016 、Windows Server 2012 
(R2 ) 客户 端 : 【打开 控制 面板 3 单 击 硬件 和 声音 下 的 查看 设备 和 打印 机 全 单 击 上 
方 添加 打印 机 (以 下 利用 Windows 10 来 说 明 ) 。 
站 Windows 7、Windows Server 2008 R2 客 户 端 : 【开始 了 设备 和 打印 机 人 添加 打印 
机 】. 
站 Windows Vista、Windows Server 2008 等 其 他 客户 端 : 【开始 令 控 制 面板 令 打 印 机 仿 添 
加 打印 机 】。 
STEP 回 ”在 图 9-3-4 中 会 显示 已 经 被 发 布 到 AD DS 的 打印 机 ， 请 单 击 要 连接 的 打印 机 ， 然 后 
单 击 旋 辐 按 钮 并 跳 到 STEP 四 。 若 打印 机 未 出 现在 此 界面 的 话 ， 单 击 我 所 需 的 打 
印 机 未 列 出 ， 然 后 继续 下 一 个 步骤 。 
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STEP 图 “在 图 9-3-5 中 可 以 通过 以 下 5 种 方式 之 一 来 连接 共享 打印 机 ， 完 成 后 单 击 请 国 细 | 捷 有 
钮 ( 此 处 利用 第 3 种 方式 ) 。 本 


回 按 名 称 这 反共 享 打印 机 人 S) 
示 朱 WompulernemaNinietmeme 束 

上 〇 蚀 用 TCPHIP 地址 或 主机 名 添加 打 Bpth) 

[ 〇 二 20 可 检测 了 天 下 、 无 线 或 网 络 的 打 负 人 L) 

| 〇 天 过 手动 设 秋 示 加 本 地 打印 机 可 网 所 打印机 (O) 


图 9-3-5 


浊 让 系统 帮忙 查找 旧式 的 打印 机 。 

浊 查找 发 布 到 AD DS 的 打印 机 (也 就 是 图 9-3-4 中 的 打印 机 ) 。 未 加 入 域 的 计算 机 并 逢 
会 出 现 此 选项 。 

习 利用 UNC 路 径 ， 例 如 图 中 的 \WServer3\HP Color LaserjJet 9500 PCL6 Class Driver， 其 中 
的 Server3 为 打印 服务 器 的 计算 机 名 、HP Color LaserjJet 9500 PCL6 Class Driver 为 打印 
机 的 共享 名 ， 此 处 也 可 以 输入 \server3.sayms.localNHP Color LaserJet 9500 PCL6 Class 
Driver (这 要 求 可 以 解析 到 server3.Ssayms.local 的 了 地 址 ) 。 

当 利用 TCP/ 趾 地址 或 主机 名 添加 打印 机 。 交 许 用 户 能 够 连接 网 络 接口 打印 机 (相关 说 
明 可 参考 第 9.2.1 小 节 ) 。 

阅 通过 蓝牙 、 无 线 或 网 络 发 现 查找 打印 机 。 


STEP 四 接 下 来 的 两 个 界面 分 别 单 击 诗 重 加 习 钮 、 辆 肌 技 钮 。 


如 果 共享 打印 机 所 在 的 打印 服务 器 本 身 也 是 IS 网 站 的 话 ， 则 用 户 可 以 通过 网 址 来 连接 打 
印 服务 器 并 且 共 享 打印 机 。 


1. 如 果 打 印 服务 器 还 未 安装 HS 网 站 的 话 ， 可 通过 服务 器 管理 器 来 安装 Web 服 务 器 


(IIS ) 角色 。 


2. 客户 端 如 果 要 通过 Internet 连 接 打印 服务 器 的 话 ， 则 客户 端 需 安装 或 启用 Internet 打 印 
客户 端 功能 ( Windows Server 可 通过 服务 器 管理 器 来 安装 、Windows 10 等 可 通过 打开 | 
或 关闭 Windows 功 能 来 启用 ; 它 位 于 打印 和 文件 服务 之 下 ) ;如 果 是 通过 局 域 网 连 
接 ， 就 不 需要 安装 此 功能 。 
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用 户 可 以 在 Web 浏 览 器 内 输入 URL 网 址 来 连接 打印 服务 器 ， 例 如 http://server3/printers/ 

( 见 图 9-3-6) 或 http://server3.sayms.local/printers/， 其 中 的 server3 为 打印 服务 器 的 计算 机 名 

| 称 、server3.sayms.local 为 其 DNS 主机 名 。 如 果 用 户 没 有 权限 连接 打印 服务 器 的 话 ， 则 还 需 先 
输入 有 权限 的 用 户 账户 与 密码 。 


口 
全 j| 辟 htpy/server3yprinters/。 吕 ~ gg 厨 :erver3 上 的 所 有 打印 机 。 X 到 从 多 


侧 癌 server3 上 的 所 有 打印 机 


图 9346 
它 会 将 打印 服务 器 内 所 有 的 共享 打印 机 显示 在 界面 上 ， 当 用 户 点 取 图 中 的 HP Color 


上 LaserJet 9500 PCL6 Class Driver 打 印 机 后 ， 就 可 以 在 图 9-3-7 中 来 查看 、 管 理 此 打印 机 与 待 打 
印 的 文件 。 


口 
TI 广 PaTrTTCeRE 他 交 半 图 
局 语 和 人 server3 上 的 HP Color Lasenmet 9500 PCL6 Class Driver 


打印 机 队列 : 错误 等 待 时 间 : 未 知 
挂 起 的 文档 : 2 ”平均 大 小 :0 页 


: 六 

屋 性 C 〇 Graphics - 记事 本 错误 - 正在 打印 administrator 18:55:02 2017/12/3 
O 〇 PrintTest administrator 1 76.6 Kb 18:57:08 2017/1213 有 
Y 


图 9-3-7 


用 户 可 以 通过 【 按 于 + 国 键 2 输入 UNC 路 径 来 连接 共享 打印 机 ， 例 如 输入 \server3\ HP 
Color LaserjJet 9500 PCL6 Class Driver、 按 对 重 键 (可 能 需 输入 用 户 账户 与 密码 ) 】， 之 后 系 
统 就 会 自动 在 用 户 的 计算 机 内 安装 此 打印 机 。 


9.3.6 断 开 与 共享 打印 机 的 连 


如 果 用 户 不 想 要 再 连接 共享 打印 机 的 话 : 【选中 打印 机 右 击 人 选择 删除 设备 《或 删除 ) 
即 可 】， 如 图 9-3-8 所 示 为 Windows 10 客 户 端的 示例 。 
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9.4. 共 共享 打印 机 的 高 级 设置 


可 以 根据 用 户 或 公司 的 需求 来 进一步 设置 打印 机 ， 例 如 打印 优先 级 、 打 印 时 间 与 打印 机 
池 等 。 


如 果 公 司 内 部 有 一 台 同 时 向 基层 员工 与 高 层 主管 提供 服务 的 打印 设备 ， 当 高 层 主管 的 文 
件 需 要 拥有 较 高 的 打印 优先 级 时 ， 换 句 话 说， 如 何 让 高 层 主管 的 文件 可 以 优先 打印 呢 ? 

此 时 可 利用 打印 优先 级 来 实现 上 述 目标 ， 可 以 如 图 9-4-1 所 示 在 打印 服务 器 内 建立 两 个 分 
别 拥有 不 同 打 印 优先 级 的 届 辑 打印 机 ， 将 这 两 个 逻辑 打印 机 映射 到 同一 台 物 理 打印 设备 ， 这 
个 方式 让 同一 台 打印 设备 可 以 处 理由 多 个 逻辑 打印 机 所 送 来 的 文件 。 

图 中 安装 在 打印 服务 器 内 的 打印 机 HPLaserjJet-1 拥 有 较 低 的 打印 优先 级 (1) ， 而 打印 机 
HPLaserJet-2 的 打印 优先 级 较 高 《99) ， 因 此 通过 HPLaserJet-2 打 印 的 文件 ， 可 以 优先 打印 

〈 若 此 时 打印 设备 正在 打印 其 他 文件 的 话 ， 则 需 等 此 文件 打印 完成 后 ， 才 开始 打印 这 份 优先 
级 较 高 的 文件 ) 。 可 以 通过 权限 设置 指定 只 有 高 层 主管 才 有 权限 使 用 HPLaserJet-2， 而 基层 员 
工具 能 够 使 用 HPLaserJet-1。 

这 种 架构 的 设置 方式 为 : 以 图 9-4-1 为 例 ， 先 添加 一 台 打印 机 《假设 端口 为 LPT1) ， 然 后 
建立 第 2 台 相 同 的 打印 机 ， 并 选择 相同 的 打印 机 端口 (LPT1 端 口 ) 。 
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HPLaserjet-1 
于 级 1 


HPLaserJet-2 
(和 999) 


图 9-4-! 
完成 打印 机 添加 操作 后 : 【如 图 9-4-2 所 示 选 中 打印 机 右 击 《两 台 打 印 机 被 合并 在 一 个 图 


标 内 ) 人 打印 机 属性 3 选择 需要 更 改 优先 级 的 打印 机 驴 如 图 9-4-3 所 示 通 过 高 级 选项 卡 来 设置 
其 优先 级 】，1 代 表 最 低 优先 级 ，99 代 表 最 高 优先 级 。 


HP Color Laserjet 9500 PCE6 Class Driver 全 本 人 


、 


图 9-4-2 
2 HP Color Laserjet 9500 PCL6 Class Driver 尾 性 


[1 硬 头 有 二 
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以 上 操作 也 可 以 通过 打印 管理 控制 台 来 完成 : 【 单 击 左下 角 开始 图 标 困 QWindows 管理 
工具 3 打印 管理 纺 在 图 9-4-4 中 选中 要 设置 的 打印 机 后 右 击 仿 属性】。 


如 果 打 印 设备 在 白天 上 班 时 过 于 忙碌 ， 因 而 您 希望 某 些 已 经 发 送 到 打印 服务 器 的 非 紧 急 
文件 不 要 立刻 打印 ， 等 到 打印 设备 空闲 的 特定 时 段 再 打印 。 或 某 份 文件 过 于 庞大 ， 会 占用 太 
多 打印 时 间 ， 因 而 影响 到 其 他 文件 的 打印 。 此 时 也 可 以 让 这 份 文件 等 到 打印 设备 空闲 的 特定 
时 段 再 打印 。 

要 实现 以 上 目标 的 话 ， 可 以 如 图 9-4-5 所 示 在 打印 服务 器 内 建立 两 个 打印 时 段 不 同 的 轴 辑 
打印 机 ， 这 两 个 打印 机 都 是 使 用 同一 台 物 理 打 印 设备 。 安 装 在 打印 服务 器 的 打印 机 
HPLaserJet-1 一 天 24 小 时 都 提供 打印 服务 ， 而 打印 机 HPLaserJet-2 只 有 在 18:00 到 22:00 才 提供 打 
印 服务 。 因 此 通过 HPLaserJet-1 打 印 的 文件 ， 只 要 轮 到 它 就 会 开始 打印 。 而 送 到 HPLaserJet-2 
的 文件 ， 会 被 哲 时 搁置 在 打印 服务 器 ， 一 直 等 到 18:00 才 会 将 其 送 到 打印 设备 去 打印 。 


| HPLaserJet2 


kai8 : 00-22 : 00 提 供 服务 】 


图 9.4.5 


这 种 架构 的 设置 方式 为 : 以 图 9-4-5 为 例 ， 先 添加 一 台 打 印 机 ， 再 添加 第 2 台 相 同 的 打印 


转 2so 
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上 
| 
| 
| 


| 机 ， 并 选择 相同 的 打印 机 端口 ， 接 着 【选中 打印 机 后 右 击 2 打印 机 属性 分 别 选择 两 台 打 印 
机 人 如 图 9-4-6 所 示 通 过 高 级 选项 卡 来 选择 打印 服务 的 时 段 】。 


人 


加 几 芭 和 | 人 “说 2 
| 


[天 0 颜色 和 理 “安全 


所 谓 打 印 机 池 〈printer pool) 就 是 将 多 台 相 同 的 《或 兼容 的 ) 打印 设备 集合 起 来 ， 然 后 
| 具 建 立 一 个 逻辑 打印 机 来 映射 到 这 些 打印 设备 ， 也 就 是 让 一 个 逻辑 打印 机 可 以 同时 使 用 多 台 
打印 设备 来 打印 文件 ， 如 图 9-4-7 所 示 。 


HPLasenet-C (打印 中 ) 


图 9.4.7 


当 用 户 将 文件 送 到 此 轩 辑 打印 机 时 ， 打 印 机 会 视 打 印 设备 的 忙碌 状态 来 决定 要 将 文件 发 
送 到 打印 机 池 中 的 哪 一 台 打 印 设备 进行 打印 。 例 如 图 9-4-7 中 打印 服务 器 内 的 HPLaserJet 为 打 
印 机 池 ， 当 其 收 到 用 户 的 打印 文件 时 ， 由 于 打印 设备 HPLaserJet-A 与 HPLaserJetC 都 处 于 正在 
打印 文件 的 状态 ， 而 打印 设备 HPLaserJet-B 正 处 于 闲置 中 ， 因 此 打印 机 HPLaserJet 会 将 此 文件 
送 往 打 印 设 备 HPLaserJet-B 打 印 。 

用 户 通过 打印 机 池 来 打印 可 以 节省 自行 查找 打印 设备 的 时 间 。 建 议 这 几 台 打印 设备 最 好 
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是 放置 在 邻近 的 地 理 位 置 ， 以 便 让 用 户 比较 容易 拿 到 打印 出 来 的 文件 。 
如 果 打 印 机 池 中 有 一 台 打 印 设备 因 故 停止 打印 〈 例 如 缺 纸 ) ， 则 只 有 当前 正在 打印 的 庙 
件 会 被 搁置 在 这 人 台 打印 设备 上 ， 其 他 文件 仍然 可 由 其 他 打印 设备 继续 正常 打印 。 
打印 机 池 的 建立 方法 为 《以 图 9-4-7 为 例 ) : 【 先 添加 一 台 打 印 机 驴 选 中 打印 机 后 右 击 久 
打印 机 属性 3 通过 图 9-4-8 的 端口 选项 卡 进行 设置 】， 需 要 先 勾 选 最 下 方 的 启用 打印 机 池 ， 再 ， 
继续 勾 选 上 方 所 有 连接 着 打印 设备 的 端口 〈 假 设 是 LPT' 端 口 ) 。 


咏 HP Color Laserjet 9500 PCL6 Class Driver 刷 性 


X 


挤 ，D 达 天 全 理 安全 | 设 和 设 村 
| 2 Hp colortaserlet 9500 pct6 class Driver 


通过 【选中 打印 机 右 击 3 打印 机 属性 纺 高 级 选项 卡 】 的 方法 进行 设置 ， 如 图 9-4-9 所 示 。 


习 使 用 后 台 打 印 ， 以 便 程序 更 快 地 结束 打印 : 后 台 打 印 的 作用 是 先 将 收 到 的 文件 存储 
在 磁盘 内 ， 然 后 将 其 送 到 打印 设备 打印 。 将 文件 送 往 打 印 设备 的 工作 是 由 多 任务 组 
冲 器 (spooler) 负责 的 ， 并 且 是 在 后 台 执行 。 

国 在 后 台 处 理 完 最 后 一 页 时 开始 打印 : 需要 收 到 文件 的 所 有 页 数 后 才 会 将 其 送 到 打 
印 设备 打印 。 
国 立即 开始 打印 : 收 到 文件 第 一 页 就 开始 打印 ， 不 需要 等 到 收 齐 所 有 页 数 。 

当 直接 打印 到 打印 机 : 文件 是 直接 送 到 打印 设备 ， 而 不 会 先 送 到 打印 服务 器 的 多 任务 
缓冲 区 进行 处 理 。 

涪 挂 起 不 匹配 文档 : 如 果 文 件 的 格式 设置 与 打印 机 不 匹配 的 话 ， 此 文件 会 被 挂 起 不 打 
印 ， 例 如 将 打印 设备 设置 为 使 用 letter size 纸 张 ， 但 是 文件 格式 设置 却 不 是 letter size， 
则 打印 机 收 到 此 文件 后 ， 并 不 会 将 其 送 往 打 印 设备 。 
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沁 首先 打印 后 台 文 档 : 首先 打印 已 完整 发 送 到 打印 服务 器 后 台 的 文件 ， 而 尚未 完整 收 
齐 的 文件 会 晚 一 点 打印 ， 即 使 这 份 不 完整 文件 的 优先 级 较 高 或 者 是 先 收 到 但 未 收 
完 。 如 果 未 勾 选 此 选项 ， 则 打印 顺序 取决 于 优先 级 与 送 到 打印 机 的 先后 顺序 。 

当 保留 打印 的 文档 : 当 打 印 文件 被 送 往 打 印 服务 器 时 ， 它 会 先 被 暂时 存储 到 服务 器 的 
磁盘 内 排队 等 待 打印 ， 这 个 动作 被 称 为 spooling ( 而 此 缓存 文件 就 称 为 spool file ) ， 
等 到 轮 到 时 再 将 其 送 到 打印 设备 打印 。 此 选项 让 您 决定 是 否 在 文件 发 送 到 打印 设备 
后 就 将 spool file 由 磁盘 内 删除 。 

外 启用 高 级 打印 功能 : 此 时 文件 会 采用 EMF ( Enhanced metafile ) 的 格式 来 转换 打印 的 
文件 ， 并 且 支 持 一 些 其 他 高 级 打印 功能 ( 视 打 印 设备 而 定 ) 。 


了 芭 p 人 


文件 被 送 到 打印 服务 器 后 ， 它 是 被 暂时 存储 在 %Systemaroot%\System32\spool \PRINTERS 
文件 夹 内 ， 可 以 在 打印 服务 器 上 通过 【在 设备 和 打印 机 界面 下 选择 任何 一 人 台 打 印 机 驴 单 击 上 
方 的 打印 服务 器 属性 纺 高 级 选项 卡 仿 】 来 查看 。 


9.5 打印 机 权限 与 所 有 权 


系统 中 添加 的 每 一 台 打 印 机 ， 默 认 是 所 有 用 户 都 有 权限 将 文件 发 送 到 此 打印 机 来 打印 
的 ， 而 且 这 人 台 打 印 机 的 所 有 者 为 SYSTEM。 
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高 级 打印 机 ， 其 每 张 的 打印 成 本 很 高 ， 因 此 可 能 需要 通过 权限 设置 来 限制 只 有 特定 的 用 户 才 
可 使 用 此 打印 机 。 


查看 与 更 改 用 户 的 打印 权限 ， 从 图 中 可 以 看 出 默认 是 Everyone 都 有 打印 的 权限 。 由 于 打印 机 
权限 的 设置 方法 与 文件 权限 是 相同 的 ， 故 此 处 不 再 重复 ， 请 自行 参考 第 7 章 的 说 明 ， 此 处 仅 将 ， 
打印 机 的 权限 种 类 与 其 所 具备 的 能 力 列 于 表 9-5-1。 


Im HP Color Laserjet 


2 
EC 


wy ( 见 附注 ) 
Y ( 见 附注 ) 


ES 
ER 
Etss 
Ts 
ES 
5 


用 户 被 赋予 管理 文档 权限 后 ， 他 并 不 能 够 管理 已 经 在 等 待 打印 的 文件 ， 只 能 够 管理 在 被 | 
赋予 管理 文档 权限 之 后 才 送 到 打印 机 的 文件 。 
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如 果 想 将 共享 打印 机 隐藏 起 来 让 用 户 无 法 通过 网 络 浏览 到 它 的 话 ， 只 要 将 共享 名 的 最 后 
个 字符 设 定 为 $ 符 号 即 可 。 被 隐藏 起 来 的 打印 机 ， 用 户 还 是 可 以 通过 自行 输入 UNC 网 络 路 
茎 的 方式 进行 连接 的 ， 例 如 通过 民 按 于 + 全 四 键 2 输 入 打印 机 的 UNC 路 径 ， 比 如 
\Server3\HPLaserJet$】。 


每 一 台 打 印 机 都 有 所 有 者 ， 所 有 者 具备 更 改 此 打印 机 权限 的 能 力 。 打 印 机 的 默认 所 有 者 
定 SYSTEM。 

由 于 打印 机 所 有 权 的 相关 原理 与 设置 都 与 文件 相同 ， 故 此 处 不 再 重复 ， 请 自行 参考 7.4 节 
文件 与 文件 夹 的 所 有 权 的 说 明 。 


9.6 利用 分 隔 页 来 分 隔 打 印 文件 
f 

由 于 共享 打印 机 可 供 多 人 同时 使 用 ， 因 此 在 打印 设备 上 可 能 有 多 份 已 经 打印 完成 的 文 
件 ， 但 是 对 于 已 打印 完成 的 文件 属于 哪个 用 户 却 不 容易 分 辨 此 时 可 以 利用 分 隔 页 
《separator page) 来 分 隔 每 一 份 文件 ， 也 就 是 在 打印 每 一 份 文件 之 前 ， 先 打印 分 隅 页， 这 个 
隔 页 内 可 以 包含 拥有 该 文件 的 用 户 的 名 称 、 打 印 日 期 、 打 印 时 间 等 数据 。 

分 隔 页 上 需要 包含 哪 一 些 数据 是 通过 分 隔 页 文件 来 定义 的 。 分隔 页 文件 除了 可 供 打 印 分 
量 页 之 外 ， 它 还 具备 控制 打印 机 工作 的 功能 。 


系统 已 内 置 了 几 个 标准 的 分 隔 页 文件 ， 它 们 位 于 % 有 zair%\System32 文 件 夹 内 〈%J5zair 
4 一 般 是 指 C'\Windows) ， 例 如 : 

匀 sysprint.sep: 适用 于 与 PostScript 兼 容 的 打印 设备 。 
当 pelsep: 适用 于 与 PCL 兼 容 的 打印 设备 。 它 先 会 将 打印 设备 切换 到 PCL 模 式 (利用 \H 
命令 ， 后 述 ) ， 然 后 再 打印 分 隔 页 。 
，， pscriptsep: 适用 于 与 PostScript 兼 容 的 打印 设备 ， 用 来 将 打印 设备 切换 到 PostScript 
7 和 模式 〈 利 用 \H 命 令 ) ， 但 是 不 会 打印 分 隔 页 。 
上 Sysprtj.sep: 日 文 版 的 Sysprint.Sep。 
车 以 上 标准 分 隔 页 文件 并 不 符合 系统 管理 需要 的 话 ， 可 以 自行 在 % 有 rdiz%p\System32 文 
UL 件 夹 内 利用 记事 本 来 设计 分 隔 页 文件 。 分 隔 页 文件 中 的 第 一 行 用 来 代表 命令 符号 〈escape 
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character) ， 可 以 自行 决定 此 命令 符号 ， 例 如 若 想 将 \ 符号 当 作 命令 符号 的 话 ， 则 在 第 一 行 输 
入 \ 后 按 旺 辆 键 。 此 处 以 上 述 的 pcl.sep 文 件 为 例 来 说 明 ， 其 内 容 如 图 9-6-1 所 示 。 


AN 从 
MH1IBAL%=-12345XoPJL ENTER LANGUAGE=PCL | 
1 


NMO 

MUALJob : AI 
AUALDate: AD 
MUALTime: AT 
\E Y 
人 


图 96-! 


其 中 ， 第 一 行为 (其 后 跟着 按压 辆 键 ) ， 表 示 此 档 是 以 \ 代 表 命令 符号 。 表 9-6-1 中 列 
出 页 面 文件 内 可 使 用 的 命令 ， 此 表 假设 命令 符号 为 \。 


表 9-6-1 


打印 发 送 此 文件 的 用 户 的 域名 ， 仅 Windows Server 2012〔 含 ) 、 Windows 8 ( 含 ) 之 后 
的 系统 支持 
打印 发 送 此 文件 的 用 户 名 称 
打印 作业 号 码 〈 每 一 个 文件 都 会 被 赋予 一 个 工作 号 码 ) 
打印 文件 被 打印 出 来 时 的 日 期 ， 此 日 期 格式 与 【控制 面板 2 时 钟 、 语 言 和 区 域 】 内 的 有 
期 格式 相同 


打印 文件 被 打印 出 来 时 的 时 间 ， 此 时 间 格 式 与 【控制 面板 纺 时 钟 、 语 言 和 区 域 】 内 的 时 
间 格 式 相同 


下 “| 打印 所 有 眼 在 \L 后 的 文字 ， 一 直到 遇 到 另 一 个 命令 符号 为 止 


ED 由 一 个 空白 行 开头 ， 将 pathname 所 指 的 文件 内 容 打印 出 来 ， 此 文件 不 会 经 过 任何 处 理 ， 
B 而 是 直接 打印 


V 

MN 

并 I 

NT 

\L 

发 送 打 印 机 句柄 nn， 此 句柄 随 打印 机 而 有 不 同 的 定义 与 功能 ， 请 参阅 打印 机 手册 ”是 
设置 分 隔 页 的 打印 宽度 ， 默 认为 80， 最 大 为 256， 超 过 设置 值 的 字符 会 被 截 掉 
关闭 块 字符 “block character) 打印 ， 兼 具 跳 到 下 一 行 的 功能 
以 单 宽度 块 字符 打印 文字 ， 直 到 遇 到 \U 为 止 《 见 以 下 范例 ) 

以 双 宽度 块 字符 打印 文字 ， 直 到 遇 到 \U 为 止 

跳 r 行 〈 可 由 0 到 9) ，n 为 0 表示 跳 到 下 一 行 1 
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\Fpathname 中 所 指定 的 文件 要 放 到 以 下 文件 夹 之 一 ， 否 则 无 法 打印 此 文件 : 


让 %Jpzdiro%\System32。 
站 % Jpnraqiro%N\System32\SepFiles， 或 是 此 文件 夹 之 下 的 任何 一 个 子 文件 夹 内 。 
站 自 定 义 文件 夹 之 下 的 SepFiles 文 件 夹 内 ， 例 如 C:\Test\SepFiles， 或 是 此 文件 夹 之 下 的 
任何 一 个 于 又 件 类 内 * 
假设 分 隔 页 文件 如 图 9-6-2 所 示 ， 且 文件 的 打印 人 为 Tom， 则 打印 出 来 的 分 隔 页 会 类 似 图 
9.6-3， 其 中 tom 的 字样 会 被 利用 # 人 符号 拼 出 来 ， 这 是 因为 \B\S 命 令 的 关系 ， 如 果 是 用 \BNM 命 令 
的 话 ， 则 字 会 更 大 〈# 笨 号 会 重复 ) 。 


iv、 
S 


本 
人 
人 
2 


装 


Job :2 

date : 201713716 
tine : 下 午 12:02:55 
*xxx 分 隔 页 测试 *xxx 


图 96-3 


选择 分 隔 页 文件 的 方法 为 ， 【选中 打印 机 右 击 信 打印 机 属性 3 单 击 图 9-6-4 高 级 选项 卡 之 
下 的 罢 病 交 按 钮 2 输入 或 选择 分 隔 页 文件 2 勋 站 护 钮 】 . 
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act 


[二 1 相 


9.7 管理 等 待 打 印 的 文件 


当 打 印 服务 器 收 到 打印 文件 后 ， 这 些 文件 会 在 打印 机 内 排队 等 待 打印 ， 如 果 用 户 具备 管 
理 文件 的 权限 ， 就 可 以 针对 这 些 文件 执行 管理 的 工作 ， 例 如 暂停 打印 、 继 续 打 印 、 重 新 开始 。 
打印 与 取消 打印 等 。 


如 果 某 份 文件 在 打印 时 出 问题 的 话 ， 可 以 暂停 打印 ， 待 解决 问题 后 再 重新 打印 或 取消 打 
印 ， 这 些 文件 管理 工作 可 以 通过 【在 设备 和 打印 机 界面 下 单 击 打印 机 驴 单 击 查看 打印 作业 
如 图 9-7-1 所 示 选 中 文件 右 击 3 通 过 快捷 菜单 中 的 选项 来 管理 文件 】 的 方法 完成 ， 例 如 暂停 
《或 继续 ) 打印 该 文件 、 重 新 从 第 1 页 开始 打印 《重新 启动 ) 或 取消 打印 该 份 文件 。 
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若 打印 设备 出 问题 ， 可 以 暂停 打印 正在 等 待 的 所 有 文件 ， 符 解决 问题 后 再 重新 打印 或 取 
消 打印 ， 这 些 文件 管理 工作 可 以 通过 在 打印 机 界面 中 单 击 上 方 打印 机 菜单 ， 从 菜单 的 选项 来 
暂停 (或 继续 ) 、 取 消 打印 所 有 文件 ， 如 图 9-7-2 所 示 。 


有 


一 个 打印 机 内 所 有 文件 的 默认 优先 级 都 相同 ， 这 种 情况 下 先 发 送 到 打印 服务 器 的 文件 会 
先 打 印 ， 不 过 可 以 更 改 文件 的 打印 优先 级 ， 以 便 让 和 急 件 可 以 优先 打印 : 【选中 该 文件 右 击 3 
属性 2 通过 图 9-7-3 的 界面 来 设置 】， 图 9-7-3 中 文件 的 优先 级 是 默认 的 1〈 最 低 ) ， 只 要 将 优 
先 级 调整 到 比 1 大 即 可 。 


加 工具 列表 :bt - 记事 本 文档 尾 性 


X 
| 二 二 
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打印 机 默认 是 24 小 时 提供 服务 ， 因 此 送 到 打印 服务 器 的 文件 ， 只 要 轮 到 它 就 会 开始 打 
印 ， 不 过 也 可 针对 所 选 文件 来 更 改 其 打印 时 间 ， 在 时 间 未 到 之 前 ， 即 使 轮 到 该 份 文件 也 不 会 
打印 它 。 可 以 通过 图 9-7-3 中 最 下 方 的 日 程 安排 来 更 改 打印 时 间 。 | 


和 嫌 区 全 


如 果 因 为 打印 设备 故障 ， 造 成 正在 打印 机 内 排队 等 待 打印 的 文件 无 法 打印 的 话 ， 此 时 可 
以 将 这 些 文件 重 定向 到 其 他 打印 机 进行 打印 ， 免 除 用 户 需 自行 将 文件 重新 发 送 到 其 他 打印 机 
的 问题 ， 不 过 必须 将 其 重 定向 到 安装 了 相同 打印 机 驱动 程序 的 打印 机 《〈 也 就 是 其 打印 设备 是 
相同 或 兼容 的 ) 。 将 文件 重 定向 的 方法 : 【在 设备 和 打印 机 界面 下 选中 要 被 重 定向 的 打印 机 
后 右 击 人 打印 机 属性 纺 端 口 选 项 卡 】， 此 时 : 


站 车 要 重 定向 到 同一 台 计算 机 内 的 其 他 打印 机 : 直接 选取 该 打印 机 即 可 ， 例 如 图 9-7-4 
中 原本 连接 在 LPT1 的 HP Color LaserjJet 2500 PCL6 故 障 ， 但 连接 在 LPT2 的 也 是 相同 
的 打印 设备 ， 此 时 您 可 以 直接 将 原本 要 送 到 LPT1 的 文件 转 到 LPT2， 也 就 是 只 要 改 为 
义 选 LTPT2 即 可 。 


1 :ES 和 as 好 


玖 hp colortasenet9500pcl5 class Driver 


图 974 


六 ”车 要 将 其 重 定向 到 网 络 上 另外 一 台 计 算 机 的 共享 打印 机 : 单 击 图 9-7-4 左 下 角 的 翘 旺 员 回 
按钮 ， 然 后 【在 图 9-7-5 中 选择 Local Port3 单 击 新 浏 国 按 甸 2 输入 目的 地 打印 机 的 网 
络 路 径 ， 例 如 图 中 的 \Server2\ HP Color Laserjet 9500 PCL6 Class Driver]】。 


除了 正在 打印 中 的 文件 之 外 ， 其 他 所 有 尚 在 等 待 打印 的 文件 都 会 被 转向 ， 您 无 法 单独 只 
将 某 份 文件 转向 。 
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图 9-7-5 


9.8 与 UNIX 系 统 对 接 


可 以 通过 以 下 两 个 组 件 来 让 Windows Server 2016 与 UNIX 计 算 机 对 接 : 


匀 LPD (Line Printer Daemon ) 服务 : 它 让 Windows Server 2016 能 够 提供 TCP/IP 打 印 
服务 器 的 服务 ， 因 此 可 接收 由 UNIX 客 户 端 所 发 送 过 来 的 打印 文件 。 

忌 LPR 端 口 监视 器 (Line Printer Remote Port Monitor ) : 它 让 Windows Server 2016 可 
以 将 文件 发 送 到 执行 LPD 的 UNIX 服 务 器 (TCP/IP 打 印 服务 器 ) 打印 。 


需要 让 Windows Server 2016 变 成 TCP/P 打 印 服 务 器 ， 也 就 是 在 此 计算 机 内 安装 LPD 服 
务 ， 而 此 服务 是 包含 在 打印 和 文件 服务 内 的 ， 其 安装 方法 为 : 
匀 若 此 计算 机 尚未 安装 打印 和 文件 服务 的 话 : 【〖 打 开 服 务 器 管理 器 了 单 击 添 加 角色 和 


功能 人 ... 人 在 角色 界面 下 匀 选 打印 和 文件 服务 人 3... 人 如 图 9-8-1 所 示 在 选择 角色 服务 
界面 下 义 选 LPD 服 务 2...】. 


陋 添加 角色 和 功能 向 导 


选择 角色 服务 
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当 如 果 此 计算 机 已 经 安装 打印 和 文件 服务 的 话 : 【打开 服务 器 管理 器 也 单 击 添加 角色 
和 功能 了 ... 了 如 图 9-8-2 所 示 在 选择 服务 器 角色 界面 下 匀 选 打印 和 文件 服务 之 下 的 
LPD 服 务 2...】. 


Web 酸 务 器 (NS) (19 个 已 安装 , 共 43 人 
Server Essentials 体验 
更 新 最 务 


需要 在 计算 机 内 添加 LPR 端 口 监视 器 功能 ; 【打开 服务 器 管理 器 持续 单 击 便 国术 钮 
一 直到 出 现 图 9-8-3 的 选择 功能 界面 时 勾 选 LPR 端 口 监视 器 人 .…】。 


Windows 10 启 用 LPR 端 口 监视 器 的 方法 为 : 【 按 红 + 国 键 2 控制 面板 程 序 人 启用 或 关 
闭 Windows 功 能 驴 展 开打 印 和 文件 服务 纺 匀 选 LPR 端 口 监视 器 】。 


接 下 来 需要 在 计算 机 内 添加 可 以 连接 到 UNIX 打 印 服务 器 (支持 LPD 的 TCP/IP 打 印 服务 
器 ) 的 打印 机 ， 其 步骤 如 下 所 示 : 


国 22 


”STEP 四 
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单 击 左下 角 开 始 图 标 田 2 控 制 面板 纺 单 击 硬件 下 的 查看 设备 和 打印 机 令 单 击 上 方 的 添 
加 打印 机 。 
单 击 图 9-8-4 中 的 我 所 需 的 打印 机 未 列 出 。 


图 9-8-4 


如 图 9-8-5 所 示 选 择 后 单 击 番 重 加 按钮。 


〇 使 用 TCRP/IP 地 址 或 主机 名 添加 打印 机 人 
O 〇 添加 可 检测 到 营 牙 、 无 线 或 网 络 的 打印 机 人 
图 通过 手动 设置 添加 本 地 打印 机 或 网 络 打 印 机 (O) 


图 9-8-5 


如 图 9-8-6 所 示 选 择 LPR Port。 
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图 986 
STEP 回 ”在 图 9-8-7 中 输入 UNIX 打 印 服务 器 的 名 称 或 了 地 址 、 输 入 打印 机 名 称 或 打印 队列 


( 若 打印 服务 器 是 支持 LPD 的 Windows Server 2016， 则 此 处 请 输入 打印 机 共享 
名 ) 。 


9-8-7 


STEP 回 ” 接 下 来 的 步骤 与 添加 一 台 本 地 IEEE 1284 并 行 打印 机 相同 ， 请 直接 参考 前 面 的 说 
明 。 


第 10 章 ， 利 用 配置 文件 来 管理 用 户 的 工作 环境 


系统 支持 通过 用 户 配置 文件 〈user profile) 存储 用 户 的 桌面 工作 环境 ， 也 可 以 通过 登录 
脚本 与 主 文件 夹 等 来 设置 用 户 的 桌面 工作 环境 。 


本 地 用 户 配 置 文件 

漫游 与 强制 用 户 配 置 文件 

自 定 义 Default 配 置 文件 

登录 脚本 

利用 “ 主 目 录 ” 存 储 用 户 个 人 文件 


尝 
沁 
沁 
沁 
习 


/1 

由 / 

。 

| 

| 
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10.1 本 地 用 户 配 置 文件 


本 地 用 户 可 以 通过 本 地 用 户 配置 文件 来 让 他 每 次 登录 时 都 有 一 致 的 桌面 工作 环境 ， 例 如 
相同 的 桌面 、 相 同 的 网 络 驱动 器 、 相 同 的 鼠标 指针 等 。 
当 用 户 第 一 次 登录 计算 机 时 ， 系 统 会 自动 在 磁盘 内 为 用 户 建立 一 个 本 地 用 户 配置 文件 目 ， 
录 ， 用 户 的 桌面 工作 环境 设置 会 被 存储 在 此 目录 中 ， 用 户 下 次 登录 时 ， 系 统 会 使 用 此 目录 中 


的 内 容 来 设置 用 户 的 桌面 工作 环境 。 


用 户 配置 文件 目录 位 于 %SystemDriveye\ 用 户 文件 夹 之 下 ， 图 10-1-1 所 示 为 Windows 10 计 
算 机 的 示例 ， 背 景 图 中 可 看 到 几 个 用 户 配 置 文件 文件 夹 〈 例 如 administrator 、george 与 ， 
john) ， 前 景 图 为 george 的 用 户 配置 文件 目录 的 内 容 。 


加 


图 10-1-1 


由 图 中 可 看 出 系统 是 利用 用 户 账 户 名 称 来 当 作用 户 配 置 文件 目录 的 目录 名 称 的 ， 例 如 用 
户 账户 名 称 为 george， 则 目录 名 称 就 是 george。 即 使 之 后 更 改 用 户 账户 名 称 ， 此 目录 名 称 也 不 ， 
会 改变 。 

系统 会 在 用 户 第 一 次 登录 时 为 其 建立 专用 的 用 户 配置 文件 目录 ， 此 目录 的 默认 内 容 是 从 
Default 目 录 复 制 过 来 的 ， 由 于 Default 目 录 是 隐藏 目录 ， 因 此 需要 通过 【 单 击 文件 资源 管理 器 ， 
上 方 的 查看 纪 匀 选 隐藏 的 项 目 】 的 方法 来 显示 ， 如 图 10-1-2 所 示 。 


辆 zs 


20171125 1144 文件 替 
2017/1214 2122 文件 去 
2017112/4 15.36 文件 卖 

六 和 


2017/12/5 11.39 区 
2017112151140 。 文 上 夫 
2016/112114 19:14 。 文件 夫 


george 
7 个 项 目 ”选中 1 个 项 目 ”状态 :器 已 共享 


图 10-1-2 


事实 上 用 户 第 一 次 登录 时 的 桌面 工作 环境 并 非 单纯 由 Default 文 件 夹 所 决定 ， 而 是 同时 由 
Default 与 %SystemDrive%\ProgramData 目 录 来 共同 决定 的 ， 后 者 存储 着 所 有 用 户 的 通用 设置 。 


此 处 的 Default 与 %SysiemzDrive%\ProgramData 目 录 在 较 旧 版 Windows 系 统 内 不 是 使 用 此 名 
称 ， 而 是 Default User 与 All Users 文 件 夹 。 


， 。 当 用 户 第 一 次 完成 登录 且 系 统 也 为 其 建立 专用 的 用 户 配 置 文件 目录 后 ， 该 用 户 所 做 的 任 
衙 桌面 设置 上 的 更 改 〈 不 含 %SystemDrive%\ProgramData 的 内 容 ) 都 会 被 存储 到 此 文件 夹 内 ， 
下 次 该 用 户 再 登录 此 计算 机 时 ， 就 会 以 这 个 专属 于 他 个 人 的 配置 文件 目录 的 内 容 〈 搭 配 
况 gysfemDrive%\ProgramData 目 录 的 内 容 ) 为 其 桌面 工作 环境 。 在 整个 过 程 中 ，Default 目 录 的 
内 容 并 不 受 影响 、 保 持 不 变 。 


在 公用 文件 夹 内 的 公用 文件 与 公用 桌面 目录 ( 后 者 为 隐藏 目录 ) 也 是 分 别 对 应 到 
%SystemDrive%\ProgramData 内 的 Documents 与 Desktop 目 录 。 


可 以 试 着 练习 本 地 用 户 配置 文件 的 功能 ， 例 如 利用 用 户 账户 george 登 录 Windows 10 计 算 
机 、 通 过 【选中 桌面 右 击 2 个 性 化 3 选择 图 片 】 来 修改 桌面 背景 (Windows 10 需 启用 后 才能 
更 改 桌 面 ) 、 通 过 【按时 + 辆 键 2 控制 面板 硬件 和 声音 纺 鼠 标 人 指针】 来 修改 鼠标 的 指针 图 
案 、 利 用 文件 资源 管理 器 连接 网 络 驱动 器 机 、 然 后 注销 ， 这 些 修 改过 的 设置 都 会 被 存储 到 
george 的 本 地 用 户 配 置 文件 目录 内 ， 当 再 次 利用 george 账 户 登录 此 Windows 10 计 算 机 时 ， 其 桌 
面 工 作 环境 就 会 是 刚才 注销 前 所 修改 过 的 环境 。 

系统 管理 员 可 以 查看 当前 这 人 台 计 算 机 内 有 哪些 用 户 配置 文件 ， 【 按 对 + 辆 键 2 控制 面板 
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2 系统 和 安全 人 系统 3 高 级 系统 设置 3 如 图 10-1-3 所 示 单 击 用 户 配置 文件 右 侧 的 对 呈 校 钮 】 ， 
然后 由 前 景 图 可 看 到 几 个 用 户 配置 文件 ， 例 如 图 中 有 域 SAYMS) 用 户 配置 文件 、 本 地 用 户 
配置 文件 与 一 个 默认 配置 文件 《也 就 是 Default) 。 


10.2 漫游 与 强制 用 户 配置 文件 


不 同 的 计算 机 有 不 同 的 本 地 用 户 配 置 文件 ， 也 就 是 用 户 在 每 一 台 计 算 机 上 的 本 地 用 户 配 。 
置 文件 都 不 相同 ， 因 此 用 户 在 不 同 计算 机 登录 的 桌面 工作 环境 也 不 相同 。 如 果 希 望 用 户 在 域 和 
内 任何 一 台 计 算 机 登录 时 都 能 够 使 用 相同 的 用 户 配 置 文件 《也 就 是 桌面 工作 环境 都 相同 ) 的 
话 ， 可 以 设置 用 户 采 用 存储 在 网 络 服务 器 上 《 非 本 地 计算 机 上 的 漫游 用 户 配置 文件 或 到 制 
用 户 配置 文件 ， 如 图 10-2-1 所 示 。 


汉 漫 游 用 户 配置 文件 (roaming user profile ) : 由 于 域 用 户 在 域内 的 任何 一 台 计算 机 登 。 
录 时 会 到 网 络 服务 器 上 读 取 相 同 的 漫游 用 户 配置 文件 ， 因 此 可 以 拥有 一 致 的 桌面 工 
作 环 境 。 当 用 户 注 销 时 ， 其 桌面 工作 环境 的 更 改 会 被 自动 保存 到 漫游 用 户 配 置 文件 
内 ， 供 下 一 次 登录 时 使 用 。 

浊 强制 用 户 配 置 文件 (mandatory user profile ) : 它 也 属于 漫游 用 户 配置 文件 ， 不 过 
它 是 只 读 的 、 不 可 以 改变 。 一 般 来 说 ， 此 配置 文件 的 内 容 是 由 系统 管理 员 事先 设置 
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好 的 。 当 用 户 注销 时 ， 其 桌面 工作 环境 的 更 改 并 不 会 被 保存 到 强制 用 户 配置 文件 
内 ， 因 此 用 户 每 次 登录 时 都 是 使 用 固定 不 变 的 桌面 工作 环境 。 


网 络 服务 器 


漫游 用 户 配置 文件 NS 
NServerl\Profiles\Alex 


一 一 人 \Serverl\Profiles\Peter 
漫游 用 户 配置 文件 ， 


图 10-2-1 


漫游 与 强制 用 户 配置 文件 只 适合 于 域 用 户 使 用 ， 本 地 用 户 不 适用 ， 因 为 只 有 域 用户 账 户 


才 可 以 在 域内 的 各 计算 机 登录 。 


以 下 假设 为 域 用 户 Alex 设 置 使 用 漫游 用 户 配 置 文件 ， 并 且 将 这 个 漫游 用 户 配置 文件 存储 
到 网 络 服务 器 Serverl 的 共享 文件 夹 Profiles 内 。 


STEP 


STEP 


STEP 


先 在 服务 器 Server1 建 立 一 个 共享 文件 夹 ， 共 享 名 设置 为 本 例 中 的 Profiles， 并 赋予 
用 户 至 少 读 取 / 写 入 的 共享 权限 ( 系统 会 根据 此 权限 来 设置 其 NTFS/ReFS 权 限 ， 同 
时 也 将 完全 控制 的 共享 权限 赋予 Everyone ) 。-- 

到 域 控制 器 上 利用 Domain Admins 或 Enterprise Admins 成 员 的 身份 登录 ， 然 后 【 单 
击 左 下 角 开 始 图 标 困 QWindows 管理 工具 QActive Directory 管 理 中 心 】。 

展开 用 户 账户 Alex 所 在 的 组 织 单位 人 双击 用 户 Alex 人 如 图 10-2-2 所 示 在 配置 文件 区 
域 中 输入 Alex 的 漫游 用 户 配置 文件 的 网 络 路 径 。 图 中 的 Serverl 为 计算 机 名 称 ， 

Profiles 为 共享 文件 夹 的 共享 名 ，Alex 为 用 户 配置 文件 目录 名 称 ( 建议 尽量 与 用 户 
账户 名 称 相同 ， 此 文件 夹 不 需 事先 建立 ) ， 单 击 贡 出 按钮 。 
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一 口 藉 

Alex [ 醒 - 可 下 
帐户 (A) 配置 文件 了 多国 
组 织 (O) RAT 登录 所 本 : 

成 员 (P) 主页 文件 兴 

裕 码 设置 9) | | 口 本 生生 

CEsxrD) 〇 连 法 收 御 人 : 

第 路 身份 验证 策略 DG@g@ 
入 ) 详细 信息 区 十 取消 

图 10-2-2 


上 述 步 骤 完 成 后 ， 用 户 Alex 到 域内 的 任何 一 台 计 算 机 登录 时 ， 系 统 就 会 自动 在 上 述 共享 
路 径 N\Serverl\Profiles 内 建立 漫游 用 户 配置 文件 目录 Alex.V6， 不 过 此 时 该 目录 中 还 没有 包含 任 
何 数据 。 此 时 用 户 的 工作 环境 设置 可 能 是 : 


浊 如 果 用 户 第 1 次 利用 此 计算 机 登录 ， 则 其 桌面 工作 环境 是 通过 Default 来 设置 的 。 

浊 若 用 户 之 前 曾经 利用 此 计算 机 登录 过 ， 则 其 桌面 工作 环境 是 通过 他 的 本 地 用 户 配置 

文件 来 设置 的 。 

当 用 户 注 销 时 ， 其 桌面 工作 环境 的 任何 改变 都 会 被 存储 到 漫游 用 户 配 置 文件 〈 同 时 也 会 
存储 到 本 地 用 户 配置 文件 ) 。 你 可 以 利用 以 下 方式 来 测试 : 利用 Sayms\Alex 账 户 登 录 后 〈 假 
设 是 使 用 Windows 10 计 算 机 ) ， 试 着 查找 C:\Windows\ System32\Notepad 文 件 ， 然 后 【选中 
Notepad 右 击 3 选 择 固 定 到 “开始 ”屏幕 2 之 后 Notepad 〈 记 事 本 ) 就 会 出 现在 开始 菜单 的 界面 
上 如 图 10-2-3 所 示 ) 驴 注 销 】， 之 后 Alex 到 域内 任何 一 台 计 算 机 登录 时 ， 都 会 读 取 此 漫游 用 
户 配置 文件 ， 并 以 此 配置 文件 内 的 设置 来 决定 其 桌面 工作 环境 ， 也 就 是 Notepad 会 出 现在 开始 
菜单 的 界面 中 。 若 是 到 Windows 7 计算 机 登录 的 话 ，Notepad 会 出 现在 【开始 妃 所 有 程序 】。 


图 10-2-3 
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也 可 以 试 着 利用 更 改 主题 的 方式 来 测试 漫游 用 户 配置 文件 ， 也 就 是 更 改 主题 、 注 销 、 然 
后 到 另 一 台 Windows 10 计 算 机 登录 ， 登 录 后 会 有 相同 的 主题 。 


用 户 所 选择 的 主题 必须 在 其 他 计算 机 也 有 相同 的 主题 ， 否 则 用 户 到 其 他 计算 机 登录 时 会 


找 不 到 此 主题 。 因 此 除非 选用 内 置 的 主题 ， 否 则 建议 选择 位 于 网 络 服务 器 的 漫游 用 户 配 
置 文件 目录 内 的 主题 ， 以 便 让 用 户 无 论 在 哪 一 台 计 算 机 登录 都 可 以 访问 到 这 个 主题 


CR 区 二 
有 


攻 。 域 用户 登 录 时 ， 其 计算 机 会 读 取 存 储 在 网 络 服务 器 的 漫游 用 户 配置 文件 ， 而 当 用 户 注销 
上 时 ， 其 工作 环境 会 被 同时 存储 到 漫游 用 户 配 置 文件 与 本 地 用 户 配 置 文件 内 。 如 果 域 用 户 登 录 时 ， 
上 因 故 无 法 访问 位 于 网 络 服务 器 内 的 漫游 用 户 配置 文件 ， 例 如 网 络 断 开 、 权 限 不 足 等 ， 此 时 


匀 如 果 该 域 用 户 是 第 一 次 利用 这 人 台 计 算 机 登录 : 此 时 因 这 人 台 计 算 机 内 当前 还 没有 该 用 
户 的 本 地 用 户 配置 文件 可 供 使 用 ， 故 系统 会 以 Default 配 置 文件 的 内 容 来 设置 用 户 的 

工作 环境 。 当 用 户 注销 时 ， 其 工作 环境 既 不 会 被 存储 到 网 络 服务 器 上 的 漫游 用 户 配 
置 文件 内 ， 也 不 会 被 存储 到 本 地 用 户 配 置 文件 内 。 

鸟 如 果 该 域 用户 之 前 曾经 利用 这 台 计 算 机 登录 过 : 将 使 用 他 在 此 计算 机 内 的 本 地 用 户 
配置 文件 。 当 用 户 注销 时 ， 其 工作 环境 并 不 会 被 存储 到 网 络 服务 器 上 的 漫游 用 户 配 
置 文件 内 ， 但 是 会 被 存储 到 本 地 用 户 配置 文件 内 。 用 户 下 一 次 登录 域 时 ， 即 使 此 时 
网 络 断 开 、 权 限 不 足 等 问题 已 经 解决 ， 也 就 是 已 经 可 以 正常 访问 网 络 服务 器 上 的 漫 
游 用 户 配 置 文件 ， 但 因为 本 地 用 户 配 置 文件 的 数据 比较 新 ， 因 此 仍然 会 使 用 本 地 用 

户 配置 文件 ， 不 过 之 后 注销 时 ， 就 可 以 正常 地 将 工作 环境 存储 到 漫游 用 户 配置 文件 

内 -。 


用 户 在 登录 时 ， 如 果 网 络 服务 器 的 漫游 用 户 配置 文件 与 本 地 用 户 配置 文件 皆 因 故 无 
法 访问 时 ， 则 用 户 的 工作 环境 如 何 确定 ? 


利用 Default 配 置 文件 来 设置 用 户 的 工作 环境 ， 但 是 登录 后 所 做 的 任何 工作 环境 的 更 
改 都 不 会 被 存储 起 来 。 


用 户 在 登录 时 ， 系 统 会 比较 网 络 服务 器 上 的 漫游 用 户 配 置 文件 与 本 地 计算 机 的 本 地 用 户 
配置 文件 两 者 之 间 哪 一 个 是 比较 新 的 版 本 ， 从 而 决定 要 采用 哪 一 个 : 
党 如 果 本 地 计算 机 的 比较 新 ， 则 读 取 本 地 用 户 配置 文件 。 


阅 如 果 网 络 服务 器 上 的 比较 新 ， 则 读 取 网 络 服务 器 上 的 漫游 用 户 配 置 文件 。 
浊 如 果 两 者 是 相同 的 ， 则 直接 使 用 本 地 用 户 配置 文件 ， 以 提高 读 取 效 率 。 
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不 论 是 使 用 哪 一 个 用 户 配置 文件 ， 当 用 户 注销 时 ， 其 对 环境 所 做 的 更 改 都 会 保存 到 这 两 
个 用 户 配置 文件 内 。 

系统 管理 员 也 可 以 设置 域 用 户 以 后 登录 都 直接 读 取 本 地 用 户 配置 文件 ， 到 客户 端 计算 机 | 
上 【 按 本 + 全 好 > 控 制 百 板 2 系统 和 安全 系统 3 高 级 系统 设置 2 单 击 用 户 配置 文件 右 便 的 
滴 豆 按钮 2 如 图 10-2-4 所 示 选 择 用 户 配 置 文件 2 单 击 罚 讽 站 员 | 扩 钮 3 选择 本 地 配置 文件 】 
之 后 用 户 所 做 的 对 环境 的 更 改 只 会 被 存储 到 本 地 用 户 配置 文件 内 ， 不 会 存储 到 服务 器 上 的 浊 
游 用 户 配置 文件 内 。 


图 102-4 


由 于 用 户 账户 控制 默认 值 的 原因 ， 如 果 用 户 不 具备 系统 管理 员 权限 ， 就 必须 输入 系统 管 


理 员 账 户 与 密码 后 才 可 以 执行 上 述 更 改 配置 文件 类 型 的 操作 。 


强制 用 户 配 置 文件 也 属于 漫游 用 户 配置 文件 ， 不 过 它 是 只 读 的 、 不 可 以 更 改 。 一 般 
说 ， 此 配置 文件 的 内 容 是 由 系统 管理 员 事 先 设置 好 的 。 当 用 户 注销 时 ， 其 桌面 工作 环境 的 更 改 并 
不 会 被 保存 到 强制 用 户 配置 文件 中 ， 因 此 用 户 每 次 登录 时 ， 都 是 使 用 固定 不 变 的 工作 环境 。 

下 面 假设 要 让 域 用 户 Billy 使 用 特定 内 容 的 强制 用 户 配置 文件 ， 并 将 这 个 配置 文件 存储 到 
共享 文件 夹 \WServerl\Profiles 中 。 


创建 一 个 特定 内 容 的 用 户 配置 文件 


要 指定 Bily 使 用 特定 内 容 的 强制 用 户 配置 文件 的 话 ， 可 以 先 利 用 一 个 临时 用 户 账 户 登 
录 ， 然 后 将 工作 环境 设置 成 Billy 所 需要 的 《例如 更 改 桌面 背景 、 设 置 网 络 驱动 器 等 ) ， 接 着 
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注销 以 便 让 这 些 设 置 存 储 到 临时 账户 的 本 地 用 户 配置 文件 中 ， 有 最 后 将 此 配置 文件 复制 给 Bilnly 
使 用 。 


ISTEP 回 。” 先 在 服务 器 Server1 上 建立 一 个 共享 文件 夹 ， 共 享 名 为 本 例 中 的 Profiles， 并 赋予 用 
户 至 少 读 取 / 写 入 的 共享 权限 ( 系统 会 根据 此 权限 来 设置 其 NTFS/ReFS 权 限 ， 同 时 
也 将 完全 控制 共享 权限 赋予 Everyone ) 。 如 果 此 目录 已 在 前 一 个 练习 中 建立 了 ， 则 
此 步骤 可 跳 过 。 

STEP 回 ”到 域内 的 任何 一 人 台 计 算 机 上 .( 以 下 假设 是 Windows 10 ) 利用 临时 的 用 户 账户 ( 例如 
ManTemplate， 请 事先 在 AD DS 或 本 地 计算 机 建立 好 此 账户 ) 登录 。 

STEP 图 更改 用 户 工作 环境 ， 例 如 更 改 鼠 标 指 针 、 主 题 、 网 络 驱动 器 、 网 络 打印 机 、 安 装 应 
用 程序 等 

STEP 四 注销， 以 便 让 这 些 设置 存储 到 临时 账户 的 本 地 用 户 配置 文件 中 。 

STEP 回 ”利用 Domain Admins 或 Enterprise Admins 组 成 员 的 身份 登录 。 

STEP 回 。 按 习 + 国 委 2 控制 面板 忆 系统 和 安全 纺 系 统 3 高 级 系统 设置 单 击 用 户 配置 文件 右 全 
的 辆 加 扶 钮 2 如 图 10-2-5 所 示 选 取 临 时 账户 ManTemplate 的 本 地 用 户 配置 文件 3 单 
击 加 入 到 按钮 ( 见 下 面 注意 处 的 说 明 ) 。 


若 国 入 强 按 钮 为 灰色 、 无 法 单 击 使 用 时 ， 可 以 通过 因特网 上 一 个 名 称 为 Windows 
Enabler 的 程序 轻易 解决 这 个 问题 。 先 上 网 查找 、 下 载 、 执 行 此 程序 ， 然 后 通过 单 击 任 
务 栏 上 的 Windows Enabler 图 标 来 启用 它 ， 再 到 图 10-2-5 单 击 灰色 的 性 向 虽 拉 钮 ， 它 会 
变 为 可 以 使 用 的 状态 。 


STEP 园 。 完成 图 10-2-6 中 的 设置 后 依 序 单 击 三 次 国 国 按钮 。 
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尘 将 配置 文件 复制 到 : 输入 要 存储 强制 用 户 配置 文件 的 网 络 路 径 ， 其 中 Serverl 为 计算 
机 名 称 、Profiles 为 共享 文件 夹 名 称 、BillyV6 为 自 定 义 的 目录 名 称 (名 称 最 后 添 
加 .V6， 不 过 此 文件 夹 不 需要 事先 建立 ) 。 


不 同 客户 端 有 不 同 的 扩展 名 。Windows 10 ( 1607 版 ) /Windows Server 2016 为 V6、 


Windows 10 ( 1$07、1511 版 ) 为 VS 、Windows 8.1/Windows Server 2012 R2 为 V4、 
Windows 8/Windows Server 2012 为 V3、Windows 7/Vista/Windows Server 2008 ( R2 ) 为 
V2、Windows XP 无 。 本 章 利用 Windows 10 ( 1607 ) 来 说 明 。 


站 允许 使 用 : 单 击 更 改 | 按钮 选择 SAYMS\Billy， 以 便 让 用 户 Bily 有 权限 访问 这 个 强制 
用 户 配置 文件 文件 夹 (系统 会 开放 让 Billy 对 此 文件 夹 拥有 完全 控制 的 权限 ) 。 


图 10256 


STEP 图 “打开 文件 资源 管理 器 纺 单 击 查看 菜单 纺 单 击 右 侧 选项 图 标 了 单 击 查看 菜单 仿 取 消 义 选 
隐藏 已 知 文件 类 型 的 扩展 名 与 隐藏 受 保护 的 操作 系统 文件 ( 推荐 ) 、 选 择 显 示 隐 藏 的 
文件 、 文 件 夹 和 驱动 器 ( 假设 当前 正在 使 用 的 计算 机 为 Windows 10 ) 。 

STEP 回 。” 按 副 + 国 键 2 输入 \Serverl\Profiles\Billy.V63 按 国 国 刍 来 打开 Billy 的 漫游 用 户 配 
置 文件 文件 夹 纺 如 图 10-2-7 所 示 将 其 中 的 ntuser.dat 文 件 名 改 为 ntuser.man， 这 个 修 
改 使 得 配置 文件 变 成 了 强制 用 户 配置 文件 。 

STEPEE 回 ”到 域 控制 器 上 单 击 左下 角 开 始 图 标 田 Windows 管理 工具 3Active Directory 管 理 中 
ss 

STEP 鲁 展开 用 户 账 户 Billy 所 在 的 组 织 单位 人 双击 用 户 Billy 信 如 图 10-2-8 所 示 在 配置 文件 节 
点 输入 Billy 的 强制 用 户 配置 文件 的 网 络 路 径 ( 最 后 不 需 加 .V6 ) 。 完 成 后 ， 单 击 
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所 | 四 置 :1eilyv6 


2016/7116 2123 文件 夹 
2016/7116 2123 文件 去 
201711V132155 文件 天 
20416/171165 2123 文件 夹 


将 ntuser.dat 改 
名 为 ntuser.man 
2016717146 2123 文件 类 


201711215 38011 DAT 文件 
201617115 1404 DG1 文件 


图 10.2-8 


完成 上 述 设置 后 ， 以 后 用 户 Bily 登 录 时 ， 不 论 其 对 桌面 工作 环境 执行 任何 更 改 ， 只 要 这 
| 些 更 改 是 隶属 于 用 户 配置 文件 的 内 容 《〈 例 如 变更 鼠标 指针 、 主 题 ) ， 当 他 注销 时 ， 这 些 设置 
都 不 会 被 存储 到 强制 用 户 配置 文件 中 ， 因 此 Billy 下 次 登录 时 ， 他 的 工作 环境 仍然 维持 之 前 的 
状态 。 


10.3 自 定 义 Default 配 置 文件 


“可 以 自 定义 Default 配 置 文件 的 内 容 ， 以 便 让 所 有 本 地 用 户 或 所 有 域 用 户 在 第 1 次 登录 时 能 
够 拥有 统一 定义 的 、 一 致 的 工作 环境 。 


本 地 用 户 登 录 时 符合 以 下 条 件 时 ， 系 统 会 利用 本 地 磁盘 内 的 %SystemDriye%\ 用 户 
Default 配置 文件 的 内 容 来 设置 用 户 的 工作 环境 : 
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包 用 户 第 一 次 利用 其 本 地 用 户 账户 在 此 计算 机 登录 。 
汉 用 户 不 是 第 一 次 在 此 计算 机 登录 ， 但 是 却 因 故 无 法 读 取 他 的 本 地 用 户 配 置 文件 ， 例 | 
如 没有 权限 读 取 本 地 用 户 配置 文件 目录 或 目录 丢失 。 


域 用 户 登 录 时 符合 以 下 条 件 时 ， 系 统 会 以 Default 配 置 文件 的 内 容 来 设置 用 户 的 工作 环境 
(以 下 假设 客户 端 计 算 机 为 Windows 10 的 1607 版 ) : 


六 域 用 户 未 被 指定 使 用 网 络 服务 器 内 的 漫游 或 强制 用 户 配置 文件 ， 而 且 是 第 一 次 利用 
其 域 用 户 账户 在 这 台 计 算 机 登录 。 
局 域 用 户 已 经 被 指定 使 用 网 络 服务 器 内 的 漫游 或 强制 用 户 配置 文件 ， 但 是 在 登录 时 ， | 
却 因 故 无 法 读 取 漫游 或 强制 用 户 配置 文件 ， 同 时 也 无 法 读 取 其 本 地 用 户 配置 文件 
还 有 域 用 户 所 读 取 的 Default 配 置 文件 与 本 地 用 户 有 所 不 同 : | 


站 如 果 在 域 控制 器 的 NETLOGON 共 享 文件 夹 内 有 一 个 目录 名 称 为 Default UserV6 的 配 
置 文件 ， 则 域 用 户 登录 时 ， 系 统 会 利用 此 配置 文件 的 内 容 来 设置 用 户 的 工作 环境 ， 


NETLOGON 共 享 文件 夹 映射 到 域 控制 器 的 %Systemiroofa\SYSVOLN sysvo\ 友 名 scripts 文 
件 夹 D 《 


包 如 果 在 NETLOGON 内 没有 Default UserV6 文 件 夹 ， 或 者 用 户 因 故 无 法 读 取 此 文件 夹 ， 
时 ， 则 会 利用 本 地 的 %SystemzDrive 外 用 户 \Default 配 置 文件 的 内 容 来 设 定 用 户 的 工作 
环境 。 | 


自 定义 Default 配 置 文件 的 方法 与 第 10.2.3 小 节 中 创建 一 个 特定 内 容 的 用 户 配置 文件 类 


似 ， 也 就 是 先 利用 一 个 临时 用 户 账户 登录 ， 然 后 设置 其 所 需要 的 工作 环境 〈 例 如 更 改 主 。 
题 )》， 接 着 注销 以 便 让 这 些 设 置 存储 到 临时 账户 的 本 地 用 户 配置 文件 中 ， 最 后 再 将 此 配置 文 
件 复制 到 Default 或 Default UserV6 配 置 文件 文件 夹 。 详 细 步 骤 不 再 重复 ， 不 过 在 复制 配置 文 
件 时 ， 注 意 本 地 和 域 Default 配 置 文件 的 复制 路 径 有 所 不 同 : 


习 如 果 要 自 定 义 本 地 Default 配 置 文件 : 需要 将 临时 账户 的 本 地 用 户 配 置 文件 复制 到 杰 
地 的 %SystezaDripe 和 用 户 \Default 文 件 夹 内 (也 就 是 %Sysie1aDyive%AUserS\ Default 文 件 
夹 ) ， 并 设置 Everyone 有 权限 访问 ， 如 图 10-3-1 所 示 。 
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10-3-1 


沾 如 果 要 自 定义 域 Default 配 置 文件 : 需要 将 临时 账户 的 本 地 用 户 配 置 文件 复制 到 任意 
一 台 域 控制 器 的 NETLOGONNWDefault UserV6 文 件 夹 内 ， 并 设置 让 Everyone 或 
Domain Users 用 户 有 权限 访问 ， 如 图 10-3-2 所 示 。 


了 5 ASR 本 呈 
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10.4 ”登录 脚本 


登录 脚本 〈logon script) 是 用 户 登 录 时 会 自动 执行 的 程序 ， 例 如 扩展 名 为 ,BAI 或.CMD 的 
批 处 理 文件 、.EXE 的 可 执行 程序 、.vbs 的 VbScript 脚 本 文件 、.ps1 的 Windows Powershell 脚 本 
文件 等 。 系 统管 理 员 利用 脚本 文件 来 执行 计算 机 或 网 络 的 管理 工作 能 大 大 提高 管理 效率 。 

图 10-4-1 是 一 个 简单 的 VbScript 脚 本 文件 示例 〈logon.vbs) ， 它 仅 在 屏幕 打印 一 串 文字 ， 
我 们 将 利用 它 来 练习 登录 脚本 。 让 用 户 使 用 登录 脚本 的 步骤 如 下 : 


wscript. echo“ 欢 迎 进 入 由 ndows Server 2016 的 世界 ， 这 是 登录 脚本 测试 < 


隔 

山 
名 
过 


< (机 弥 


图 10-4-1 
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STEP 和 加 ”将 登录 脚本 ( logon.vbs ) 复制 到 NETLOGON 共 享 文件 夹 内 : 

沾 如 果 登 录 脚 本 是 要 给 域 用 户 使 用 的 话 ， 请 将 其 复制 到 任何 一 台 域 控制 器 的 
NETLOGON 共享 文件 夹 内 ”此 共享 文件 夹 映 射 到 域 控 制 器 的 
%Systemaroot%\SYSVOLASySvOR 碟 如 \scripts 文 件 夹 。 

浊 如 果 登 录 脚 本 是 要 给 本 地 用 户 使 用 的 话 ， 要 将 其 复制 到 本 地 的 NETLOGON 共 享 文件 
夹 内 。 由 于 默认 在 本 地 计算 机 内 没有 此 文件 夹 ， 因 此 请 自行 建立 一 个 共享 文件 夹 ， 
并 将 其 共享 名 设置 为 NETLOGON。 

STEP 回 ”指定 用 户 使 用 登录 脚本 : 

匀 如 果 登 录 脚本 是 给 域 用 户 使 用 的 话 : 【 单 击 左下 角 开 始 图 标 因 人 Windows 管理 工具 
3Active Directory 管 理 中 心 号 选择 用 户 账户 所 在 的 组 织 单位 或 容器 义 双 击 用户 账 户 
在 图 10-4-2 中 配置 文件 节点 的 登录 脚本 处 输入 登录 脚本 的 文件 名 】。 


输入 文件 名 即 可 ( 例如 logon.vbs ) ， 不 要 输入 完整 的 路 径 ( 例如 \NServerl\ 
NETLOGONNogon.vbs ) ， 因 为 系统 是 自动 到 域 控 制 器 或 本 地 的 NETLOGON 共享 文件 
夹 来 读 取 登录 脚本 。 如 果 将 登录 脚本 放 在 NETLOGON 之 下 的 子 文件 夹 ， 例 如 放 在 Sales 
子 文件 夹 内 ， 则 此 处 输入 Sales\logon.vbs。 


久 如 果 登 录 脚 本 是 要 给 本 地 用 户 使 用 的 话 : 【 单 击 左下 角 开 始 图 标 田 信 Windows 管理 工 
具 仿 计算 机 管理 令 系 统 工 具 令 本 地 用 户 和 组 令 用 户 义 双击 用 户 账 户 纺 在 图 10-4-3 中 配 
置 文件 选项 卡 下 的 登录 脚本 处 输入 登录 脚本 的 文件 名 】. 


john 尾 性 yx 
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攻 srEp 目 完成 后 ， 以 后 该 用 户 登 录 时 ， 就 会 从 负责 审核 用 户 登 录 身 份 的 域 控 制 器 或 本 地 计 
算 机 来 读 取 与 执行 上 述 登 录 脚 本 ， 如 图 10-424 所 示 为 在 Windows 10 客 户 端 上 所 看 
到 的 界面 。 


Windows Script Host 


欢 递 进入 Windows Server 2016 的 世界 ， 这 是 登录 岩 本 测试 


图 1044 
日 将 供 域 用 户 使 用 的 登录 脚本 放 到 %Systemroot%NSYSVOL \sysvoh 三 名 \scripts 文 件 来 


内 有 什么 好 处 呢 ? 
如 果 域 内 有 多 人 台 域 控制 器 的 话 ， 用 户 登 录 时 会 由 其 中 一 合 域 控制 器 ;( 任何 一 台 都 有 


可 能 ) 来 负责 审核 用 户 的 账户 与 密码 ， 而 用 户 的 计算 机 也 就 会 由 这 合 域 控制 器 来 读 取 登 
录 脚 本 ， 因 此 必须 每 一 合 域 控制 器 内 都 有 此 登录 脚本 。 由 于 域 控 制 器 会 自动 将 SYSVOL 
文件 夹 内 的 文件 复制 到 其 他 域 控制 器 ， 因 此 将 登录 脚本 放 到 这 里 ， 可 以 让 系统 自动 将 其 
复制 到 其 他 域 控 制 问 内 。 


[ED 


在 《Windows Server 2016 Active Directory 配 置 实务 》 这 本 书 中 还 会 介绍 另外 一 种 利用 组 
策略 来 设置 登录 /注销 脚本 文件 的 方法 ， 它 的 功能 更 强大 。 


10.5 利用 “ 主 目录 ”存储 个 人 文件 


用 户 配 置 文件 内 有 很 多 个 内 置 的 文件 夹 参见 图 10-1-1) ， 其 中 有 一 个 名 称 为 文件 的 文 
件 夹 可 供用 户 来 存储 其 个 人 文件 ， 而 用 户 可 以 很 容易 地 通过 【文件 资源 管理 器 3 文件 】 的 方 
法 打开 文件 目录 。 然 而 采用 漫游 用 户 配置 文件 的 用 户 在 登录 时 可 能 会 浪费 时 间 在 下 载 这 个 目 
录 内 的 文件 ， 同 时 注销 时 也 需要 花费 时 间 将 文件 保存 到 服务 器 。 
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Windows 系 统 还 提供 一 个 可 以 让 用 户 存 储 私人 文件 的 目录 ， 那 就 是 主 目 录 〈home 
folder) 。 主 目录 并 不 包含 在 用 户 配 置 文件 内 ， 因 此 用 户 登 录 / 注 销 并 不 需要 下 载 或 保存 文 


和 


域 与 本 地 用 户 都 可 以 被 定义 主 目录 ， 下 面 针 对 域 用 户 Robert 来 说 明 ， 并 且 将 其 主 目录 设 
置 到 服务 器 Serverl 的 共享 文件 夹 Home 内 的 子 目录 Robert。 


STEP 


STEP 四 


STEP 加 
STEP 四 


STEP 


请 事先 在 Serverl 内 建立 一 个 共享 文件 夹 ， 共 享 名 设置 为 本 例 中 的 Home、 赋 予 
Everyone 或 Domain Users 读 取 / 写 入 的 共享 权限 ( 系统 会 根据 此 权限 来 设置 其 | 
NTFS/ReFS 权 限 ， 同 时 也 将 完全 控制 的 共享 权限 赋予 Everyone ) 、 最 后 将 
NTFS/ReFS 权 限 更 改 为 只 开放 给 域 组 Administrators 完 全 控制 的 权限 。 
在 此 共享 文件 夹 之 下 ， 为 Robert 建 立 一 个 专用 的 子 文件 夹 ， 假 设 文件 夹 名 称 为 | 
Robert， 并 将 完全 控制 的 NTFS/ReFS 权 限 冉 予 用 户 Robert， 此 文件 夹 就 是 Robert 的 ， 
主 目录 。 

到 域 控制 器 上 利用 域 系统 管理 员 身 份 登录 。 
单 击 左下 角 开 始 图 标 困 2Windows 管理 工具 3Active Directory 管 理 中 心 3 选 择 用 户 ， 
账户 Robert 所 在 的 组 织 单位 或 容器 人 双击 用 户 账户 Robert。 
在 图 10-5-1 配 置 文件 节点 中 ， 通 过 连接 来 将 其 主 目 录 设 置 到 UNC 网 络 路 径 量 
NServerl\Home\Robert 或 \WServerl\Home\%Username%， 并 以 一 个 驱动 器 号 ( 例如 
Z: ) 来 连接 到 此 文件 夹 后 单 击 丑 测 技 钮 。 


图 10-5-1 


设置 完成 后 ， 域 用 户 Robert 登 录 后 ， 驱 动 器 号 Z: 会 自动 连接 到 他 的 主 目 录 
NServerI\Home\Robert〈 如 图 10-5-2 所 示 ) ， 他 就 可 以 通过 Z: 来 将 个 人 文件 存储 到 主 目录 内 了 。 
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盟 | 周 局 = | 此 吧 防 
计 耻 机 。 下 看 
4 * 个 鳃 ，Ht 电 脑 ， 
办 快 于 上 癌 7 文才 夹 侣 
3 
六 刘 
目 
国 覃 片 六 站 = 
so， 网 
有 设备 和 驱动 吴 O) 
本 地 珊 生 fc) Dvo 要 动 吴 (D) 
全 六 表 2 na 有 :syxerezcnow 
间 诬 4286B 问 用 , 共 595G8 0 字 节 可 限 , 共 575 GB 


图 10-5-2 


建议 不 要 将 域 用 户 的 主 目录 指定 到 本 地 计算 机 内 “通过 图 10-5-1 中 的 本 地 路 径 ) ， 因 为 
用 户 所 登录 的 每 一 台 计 算 机 内 都 必须 要 有 此 文件 夹 存在 。 
如 果 要 在 成 员 服务 器 上 来 指定 本 地 用 户 的 主 目录 : 【 单 击 左下 角 开 始 图 标 困 QWindows 
| 管理 工具 纺 计 算 机 管理 纺 系 统 工具 义 本 地 用 户 和 组 信用 户 写 双击 用 户 账户 3 配置 文件 3 设 置 如 
| 图 10-5-3 所 示 的 本 地 路 径 】， 图 10-5-3 中 需 将 路 径 指定 到 本 地 计算 机 的 磁盘 内 ， 例 如 
CA\LocalHomeCindy， 不 能 够 使 用 UNC 网 络 路 径 。 
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系统 管理 员 可 以 通过 组 策略 〈group policy) 的 强大 功能 来 充分 控制 和 管理 网 络 用 户 与 计时 


算 机 的 工作 环境 、 减 轻 网 络 管理 的 负担 。 


组 策略 概述 

本 地 计算 机 策略 实例 演练 
域 组 策略 实例 演练 

本 地 安全 策略 

域 与 域 控制 器 安全 策略 
组 策略 首选 项 设置 
审核 资源 的 使 用 
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和 .1 组 策略 概述 


| 组 策略 是 一 个 能 够 让 系统 管理 员 充分 控制 和 管理 用 户 工作 环境 的 功能 ， 通 过 它 来 确保 用 
户 拥 有 受 控制 的 工作 环境 ， 也 通过 它 来 限制 用 户 ， 如 此 不 但 可 以 让 用 户 拥有 适当 的 环境 ， 也 
可 以 减轻 系统 管理 员 的 管理 负担 。 

组 策略 包含 计算 机 配置 与 用 户 配置 两 部 分 。 计 算 机 配置 只 对 计算 机 环境 产生 影响 ， 而 用 


户 配置 只 对 用 户 环境 产生 影响 。 可 以 通过 以 下 两 种 方法 来 设置 组 策略 : 


半 本 地 计算 机 策略 : 可 用 来 设置 单一 计算 机 的 策略 ， 这 个 策略 里 的 计算 机 配置 只 会 被 
应 用 到 这 人 台 计 算 机 ， 而 用 户 配置 会 被 应 用 到 在 这 台 计 算 机 登录 的 所 有 用 户 。 

所 域 组 策略 : 在 域内 可 以 针对 站 点 、 域 或 组 织 单位 来 设置 组 策略 ， 其 中 域 组 策略 中 的 
设置 会 被 应 用 到 域内 的 所 有 计算 机 与 用 户 ， 而 组 织 单位 的 组 策略 会 被 应 用 到 该 组 织 
单位 内 的 所 有 计算 机 与 用 户 。 


对 加 入 域 的 计算 机 来 说 ， 如 果 其 本 地 计算 机 策略 的 设置 与 “ 域 或 组 织 单位 ”的 组 策略 设 


置 有 冲突 ， 则 以 “ 域 或 组 织 单位 ”组 策略 的 设置 优先 ， 也 就 是 此 时 本 地 计算 机 策略 的 设置 无 
效 。 


11.2 本 地 计算 机 策略 实例 演练 


下 面 利用 未 加 入 域 的 计算 机 来 练习 本 地 计算 机 策略 ， 以 免 受 到 域 组 策略 的 干扰 ， 造 成 本 
地 计算 机 策略 的 设置 无 效 ， 进 而 影响 到 验证 实验 结果 。 


11.2.1 计算 机 配置 实例 演 


人 


对 Windows Server 2016 计 算 机 关机 时 ， 系 统 会 要 求 用 户 提供 关机 的 理由 【参见 图 11-2-1) ， 
以 下 实例 演练 完成 后 ， 系 统 就 不 会 再 要 求 提 供 关机 的 理由 了 。 


图 112-1 


【 按 避 + 国 侵 23 和 输入 gpeditmsc 后 按 国策 键 2 在 图 11-2-2 中 单 击 计 算 机 配置 信 管 理 模板 了 
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系统 人 双击 右 侧 的 显示 “关闭 事件 跟踪 程序 ”23 选择 已 禁用 2 单 击 吐 釉 按 钮 】， 以 后 要 关机 
或 重新 启动 计算 机 时 ， 系 统 就 不 会 再 询问 理由 了 。 
了 本 地 给 策 赂 锭 银 吴 人 


和 吵 | 填 曾 | 电 | 目 本 | 了 


不 要 随意 更 改 计算 机 配置 ， 以 免 更 改 到 会 影响 系统 正常 运行 的 配置 值 。 


ES 

下 面 通过 本 地 计算 机 策略 来 限制 用 户 工 作 环境 : 删除 客户 端 浏 览 器 Internet Explorer 内 
Internet 选 项 的 安全 与 连接 选项 卡 。 也 就 是 经 过 以 下 的 设置 后 ， 图 11-2-3 中 浏览 器 Internet 
Explorer 的 “安全 ”与 “连接 ”选项 卡 就 会 消失 。 


如 图 11-2-4 所 示 【 单 击 用 户 配置 迟 管理 模板 人 Windows 组 件 Q3Internet Explorer2Internet 控 
制 面板 驴 将 禁用 连接 页 与 禁用 安全 页 设置 为 已 肩 用 】， 这 个 设置 会 立即 应 用 到 所 有 用 户 , 打 
开 Intemet Explorer 人 按 加 唱 键 2 工具 菜单 2Internet 选 项 3 如 图 11-2-5 所 示 安 全 与 连接 选项 卡 消 


转 2e 


第 11 章 组 策略 与 安全 设置 “| 是 轩 


了 。 如 果 客 户 端 使 用 的 是 Microsoft Edge， 可 通过 【【 单 击 左下 角 开 始 图 标 田 人 控制 面板 信 网 
和 Internet 信 Internet 选 项 】 来 查看 。 


局 本 jb 组 续 碌 编 竺 于 
文 SHB。 名作 (A) 查看 (V) 帮助 (H) 


了 
这 OO 
和 | 和 | 站 mn 


11-2-5 


11.3 域 组 策略 实例 演练 


在 域内 可 以 针对 站 点 、 域 或 组 织 单位 来 设置 组 策略 ， 下 面 我 们 将 通过 最 常用 的 域 与 组 织 
单位 来 说 明 。 


如 图 11-3-1 所 示 可 以 针对 域 sayms.local (图 中 显示 为 sayms) 设置 组 策略 ， 此 策略 设置 会 
被 应 用 到 域内 所 有 计算 机 与 用 户 ， 包 含 图 中 组 织 单位 业务 部 在 内 的 所 有 计算 机 与 用 户 〈 换 名 
话说， 业务 部 会 继承 域 sayms.local 的 策略 设置 ) 。 
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也 可 以 针对 组 织 单位 业务 部 来 设置 组 策略 ， 此 策略 会 应 用 到 该 组 织 单位 内 所 有 的 计算 机 
与 用 户 。 由 于 业务 部 会 继承 域 sayms.local 的 组 策略 设置 ， 因 此 业务 部 最 后 的 有 效 策 略 设置 是 
域 sayms.local 的 策略 设置 加 上 业务 部 的 策略 设置 。 

如 果 业 务 部 的 策略 设置 与 域 sayms.local 的 策略 设置 有 冲突 ， 对 业务 部 内 的 所 有 计算 机 与 
用 户 来 说 ， 默 认 是 以 业务 部 的 策略 设置 优先 。 


回 Active Directory 管理 中 心 《sayms (本 地 ) (15) 


图 11-3-1 


组 策略 是 通过 GPO〈Group Policy Object， 组 策略 对 象 ) 进行 设置 的 ， 当 将 GPO 链 接 量 
(link) 到 域 sayms.local 或 组 织 单位 业务 部 后 ， 此 GPO 设 置 值 就 会 被 应 用 到 域 sayms.local 或 组 
织 单位 业务 部 内 所 有 的 用 户 与 计算 机 。 系 统 已 内 置 两 个 GPO: 


站 Default Domain Policy: 此 GPO 已 经 被 链接 到 域 sayms.local， 因 此 这 个 GPO 内 的 设置 
值 会 被 应 用 到 域 sayms.local 内 的 所 有 用 户 与 计算 机 。 

涪 Default Domain Controllers Policy: 此 GPO 已 经 被 链接 到 组 织 单 位 Domain 
Controllers， 因 此 这 个 GPO 内 的 设置 值 会 被 应 用 到 Domain Controllers 内 的 所 有 用 户 与 
计算 机 。Domain Controllers 内 默认 只 有 扮演 域 控制 器 角色 的 计算 机 。 


可 以 针对 业务 部 《或 域 sayms.local) 建立 多 个 GPO， 此 时 这 些 GPO 内 的 设置 会 合并 起 来 
应 用 到 业务 部 内 的 所 有 用 户 与 计算 机 ， 如 果 这 些 GPO 内 的 设置 有 冲突 的 话 ， 则 以 排列 在 前 面 
的 优先 。 


以 下 假设 要 针对 图 11-3-2 中 组 织 单位 业务 部 内 的 所 有 用 户 进 行 设置 ， 设 置 的 内 容 是 当 遂 
些 用 户 登录 后 ， 其 控制 面板 中 的 Windows 防 火 墙 自动 被 删除 。 需 要 建立 一 个 链接 到 组 织 单 伪 
业务 部 的 GPO， 并 通过 此 GPO 内 的 用 户 配 置 进行 设置 。 
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Windows PowerShell 历史 记录 


11-3-2 


STEP 回 ”到 域 控 制 器 上 利用 域 系统 管理 员 账 户 登 录 。 
STEP 回 单 击 左 下 角 开 始 图 标 田 Windows 管理 工具 人 组 策略 管理 。 
STEP 和 加 “如 图 11-3-3 所 示 展 开 到 组 织 单 位 业务 部 3 选中 业务 部 右 击 人 在 这 个 域 中 创建 GPO 并 


在 此 处 链接 。 
最 组 第 略 管理 一 
屋 文 #( 有 。 强人 F(A 查看) 音 口 W) 帮助 (H) 因 导 已 - 


和 路 | 直 丽 | 自 | 同 加 | 目 


SayaSs-ocal 
状态 。 链接 的 组 第 略 对 象 ， 组 策略 继承 “委派 


该 页 显示 此 城 的 Active Directory 和 Sysvol 复制 状态 ， 因 为 它 与 组 


图 11-3-3 


1， 从 图 11-3-3 中 也 可 以 看 到 系统 内 置 的 GPO :， Default Domain Policy 与 位 于 组 织 单位 
Domain_ Controllers 之 下 的 Default Domain Controllers Policy。 请 不 要 随意 更 改 这 两 个 
GPO 的 内 容 ， 以 免 影响 到 系统 的 正常 运行 。 

.可 以 选中 组 织 单位 右 击 后 选择 阻止 继承 ， 表 示 不 继承 域 sayms.local 的 策略 设置 。 也 可 
以 选中 域 GPO ( 例如 Default Domain Policy ) 右 击 后 选择 强制 ， 表 示 域 sayms.local 之 下 
的 组 织 单位 必须 继承 此 GPO 设 置 ， 不 论 组 织 单位 是 否 选 择 阻止 继承 。 
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STEP 四 。 在 图 11-3-4 中 为 此 GPO 命 名 ( 假设 是 测试 用 的 GPO ) 后 单 击 丑 滞 按 钮 。 
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STEP 回 ”如 图 11-3-6 所 示 【 展开 用 户 配置 忆 策略 忆 管 理 模板 纺 控 制 面板 人 3 双击 右 侧 隐 藏 指定 的 
“控制 面板 ”项 2 在 图 11-3-7 中 选择 已 启用 2 单 击 赋 普 按 钮 2 输入 windows 防火 坪 
( Windows 与 防火 墙 之 间 有 一 个 空格 ) 3… ] 。 


司 给 篆 巾 各 理 编 种 王 
文件 日 ”多 fFIA) 二 看 f(V) 帮助 (H) 
和 中 | 由 罚 | 已 | 目 加 | 了 
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STEP 鲍 “到 客户 端 计 算 机 ( 假设 是 Windows 10 ) 上 利用 业务 部 内 的 任意 一 个 用 户 账户 登录 
( 若 已 经 登录 ， 请 先 注销 再 重新 登录 ， 以 便 应 用 上 述 策略 ) ， 之 后 【 按 Windows 键 
导 + 圆 键 2 控 制 面板 仿 系 统 和 安全 】， 可 以 看 到 Windows 防火 墙 并 没有 出 现在 图 11- 


3-8 的 界面 上 。 
和 5 和 去 全 
| 4、 -个 到 ， 扩 抽 面 板 ， 系 过 和 安全 
原本 位 于 此 处 
各 的 Windows 防 
站 人 火 墙 不 见 了 
亚 必 和 严 看 好 查看 RAM 的 大 小 和 处理 区 速 度 | 二 元 谋反 得 沪 问 | 启动 才 得 坊 镭 查看 该 计算 机 的 名 称 
ie 秘 更 政 电 让 设置 | 咏 蕊 计算 机 时 要 要 密码 更 改 电源 按 钥 的 功能 ， 更 下 计算 机 路 吹 时 间 
外 观 了 个性 化 凤 文件 历史 记录 
时 种 、 和 语言 和 区 域 通过 文件 历史 记录 还 原 你 的 文件 
径 松 使 用 备份 和 还 原 [Wi 
估 份 和 还 原 (Windows 刀 二 罗 
BitLocker 驱动 髓 加 密 
千 理 Bktocker 
存储 空间 
管理 存 这 空间 
和 


图 11-3-8 


以 下 假设 要 针对 图 11-3-9 中 组 织 单位 业务 部 内 的 所 有 计算 机 《图 中 只 有 1 人 台 计 算 机 
WIN10PC1) 进行 设置 ， 禁 止 所 有 用 户 在 这 些 计算 机 上 运行 记事 本 程序 。 我 们 将 利用 前 一 个 
实例 演练 所 建立 的 测试 用 的 GPO 来 练习 ， 并 通过 此 GPO 内 的 计算 机 配置 拒绝 运行 记事 本 。 如 
果 你 要 练习 的 计算 机 是 在 Computers 容 器 ， 需 要 将 其 移动 到 组 织 单位 业务 部 〈 不 要 移动 位 于 
Domain Controllers 内 的 域 控制 器 ) 。 
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图 | Active Directory 管理 中 心 《 


图 11-3-9 


AppLocker 基本 概念 


我 们 将 利用 AppLocker 功 能 来 拒绝 运行 记事 本 〈notepad.exe) 。AppLocker 可 以 让 你 针对 
不 同类 别 的 程序 设置 不 同 的 策略 ， 它 共 分 为 以 下 $ 大 类 别 : 


习 可 执行 规则 : 适用 于 .exe 与 .com 的 程序 ， 例 如 本 示例 的 记事 本 (notepad.exe ) 。 
浊 Windows 安装 程序 规则 : 适用 于 .msi、.msp 与 .mst 的 程序 。 

习 脚本 规则 : 适用 于 .ps1、.bat、.cmd、 .vbs 与 .js 的 程序 。 

浊 封装 应 用 规则 : 适用 于 .appx 的 程序 (例如 天 气 、 市 场 等 动态 磁 贴 程序 ) 。 

当 DLL 规则 : 适用 于 .dl 与 .ocx 的 程序 。 


支持 AppLocker 的 域 成 员 包 打 Windows 10 Enterprise/Education 、 Windows 8.1 ( 8 ) 

Enterprise、Windows 7 Ultimate/Enterprise、 Windows Server 2016 DatacenterStandard、 

Windows Server 2012 ( R2 ) DatacenterStandard、Windows Server 2008 R2 Datacenter/ 
Enterprise/Standard。 


域 组 策略 与 AppLocker 实例 演练 
| 
以 下 实例 是 要 拒绝 运行 记事 本 程序 ， 因 为 其 文件 名 为 notepad.exe， 因 此 需要 通过 可 执行 是 
规则 来 拒绝 运行 。 此 程序 位 于 C:VWindows\System32 目 录 中 。 
sTEP 回 到 域 控制 器 上 利用 域 系统 管理 员 账 户 登 录 。 
STEP 加 单 击 左下 角 开 始 图 标 困 Windows 管理 工具 人 组 策略 管理 。 
STEP 贺 “如 图 11-3-10 所 示 展 开 到 组 织 单位 业务 部 3 选中 之 前 建立 的 测试 用 的 GPO 右 击 纺 编辑 。 
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STEP 四 ”在 图 11-3-11 中 展开 计算 机 配置 Q 策 略 2Windows 设 置 Q 安 全 设置 人 应 用 程序 控制 策 
上 略 人 AppLocker3 选 中 可 执行 规则 右 击 纺 创建 默认 规则 。 


由 于 规则 建立 后 ， 凡 是 未 列 在 规则 内 的 可 执行 文件 都 会 被 拒绝 运行 ， 因 此 需要 先 通过 此 
步骤 来 建立 默认 规则 ， 这 些 默认 规则 会 允许 普通 用 户 执 行 ProgramFiles 与 Windows 文 件 来 
内 的 所 有 程序 、 允 许 系统 管理 员 执 行 所 有 程序 。 


11-3-11 
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STEP 回 ”图 11-3-12 右 侧 3 个 允许 规则 是 前 一 个 步骤 所 建立 的 默认 规则 ， 接 着 请 如 图 11-3-12 
左 侧 所 示 【 选 中 可 执行 规则 右 击 纺 创建 新 规则 】。 


图 11-3-12 


因为 DLL 规则 会 影响 到 系统 性 能 ， 而 且 如 果 不 能 正确 配置 的 话 还 可 能 造成 意外 事件 ， 所 
以 默认 并 未 显示 DLL 规则 ， 可 以 通过 【 选中 AppLocker 右 击 信 属性 人 高 级 】 的 方法 来 显 


STEP 四 ”出 现在 你 开始 前 界面 时 单 击 调 汪 坟 钮 。 
STEP 加 ”如 图 11-3-13 所 示 选 择 拒绝 后 单 击 诊 国 塘 钮 。 


图 11-3-13 


STEP 回 。 如 图 11-3-14 所 示 选 择 路 径 后 单 击 请 国 按 钮 。 
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图 11-3-14 


如 果 程 序 经 过 签名 的 话 ， 则 图 中 也 可 以 根据 程序 发 布 者 来 设置 ， 也 就 是 拒绝 ( 或 允许 ) 
指定 发 布 者 所 签名 、 发 行 的 程序 ， 除 此 之 外 ， 还 可 以 通过 文件 哈 希 来 设置 ， 此 时 系统 会 
计算 程序 文件 的 哈 希 值 ， 客 户 端 用 户 执行 程序 时 ， 客 户 端 计算 机 也 会 计算 其 哈 希 值 ， 只 
要 哈 希 值 与 规则 内 的 程序 相同 ， 就 会 被 拒绝 执行 。 


sTEP 回 ”在 图 11-3-15 中 通过 测 网 玖 机 过 钮 选择 记事 本 的 可 执行 文件 ， 它 位 于 
C:\Windows\System32\notepad.exe ， 图 中 为 完成 后 的 界面 。 完 成 后 可 直接 单 击 


国 国 按钮 或 一 直 单 击 请 时 过 钮 ， 最 后 单 击 斋 国 技 钮 。 


图 11-3-15 


因为 每 一 全 客户 端 计算 机 的 记事 本 的 安装 文件 夹 可 能 都 不 相同 ， 所 以 系统 自动 将 图 中 原 
本 的 CNVWindows\System32 改 为 变量 表示 法 %SYSTEM32% ( 参见 3.7 节 ) 。 


STEPE 图 11-3-16 为 完成 后 的 界面 。 


二- Windows Server 2016 系统 配置 指南 


图 11-3-16 


STEPE 一 旦 建立 规则 后 ， 凡 是 未 列 在 规则 内 的 执行 文件 都 会 被 拒绝 运行 ， 虽 然 我 们 是 在 可 
执行 规则 处 建立 规则 ， 但 是 封装 应 用 规则 也 会 被 拒绝 执行 ( 例如 天 气 、 市 场 等 .appx 
动态 磁 贴 程序 ) ， 因此 还 需要 在 封装 应 用 规则 处 放 开 封装 的 应 用 程序 ， 这 里 只 需要 
通过 建立 默认 规则 来 开放 即 可 : 【 如 图 11-3-17 所 示 选 中 封装 应 用 规则 右 击 令 创 建 默 
认 规 则 】， 此 默认 规则 会 放 开 所 有 已 签名 的 封装 的 应 用 程序 。 


,are OAGNG 
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不 需要 在 Windows 安装 程序 规则 与 脚本 规则 类 别 中 建立 默认 规则 ， 因 为 它们 不 会 受到 
影响 。 


STEPE 到 客户 端 需 启 动 Application Identity 服 务 才 具 有 Applocker 功 能 。 可 以 到 客户 端 计 算 机 
上 启动 此 服务 ， 或 通过 GPO 来 为 客户 端 设 置 。 本 例 通过 此 处 的 GPO 进 行 设 置 : 如 
图 11-3-18 所 示 将 此 服务 设置 为 自动 启动 。 


第 11 章 组 策略 与 安全 设置 -二 - 


文 插 癌 ” 乓 f#IA) 查考 [MI) 其 有 CH) 


忆 组 第 哮 答 至 编 续 器 3 -二 关 


图 11-3-18 


STEPE 回 ”请 重新 启动 位 于 组 织 单位 业务 部 内 的 计算 机 ( WINIOPC1 ) : 【 然后 在 此 计算 机 上 
利用 普通 用 户 账户 登录 23 按 Windows 键 翌 + 图 键 23 输 入 notepad 后 按 辆 国人 键 】， 就 会 
显示 如 图 11-3-19 所 示 的 被 拒绝 运行 的 提示 。 由 于 并 没有 拒绝 运行 天 气 、 相 片 、 新 
闻 等 动态 磁 贴 程序 ， 因 此 应 该 可 以 正常 运行 。 
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1.， 如 果 是 通过 【 单 击 左下 角 开 始 图 标 田 3Windows 附 件 】 的 方法 来 执行 记事 本 的 话 ， 不 


会 有 任何 提示 ( 不 会 跳出 被 拒绝 运行 的 提示 窗口 ) 。 
2， 如果 是 单 击 左下 角 开 始 图 标 田 后 ， 没 有 弹出 开始 界面 ， 应 该 是 没有 在 STEP @ 为 封装 
应 用 规则 创建 默认 规则 。 


AppLocker 的 补充 说 明 


如 果 在 规则 类 别 内 建立 了 多 个 规则 ， 其 中 有 的 是 允许 规则 、 有 的 是 拒绝 规则 ， 则 
AppLocker 在 处 理 这 些 规则 时 是 以 拒绝 规则 优先 ， 至 于 未 在 规则 列表 内 的 应 用 程序 一 律 拒绝 
执行 。 

另外 ， 当 在 组 织 单位 业务 部 内 的 GPO 通 过 AppLocker 规 则 限制 计算 机 执行 程序 后 ， 一 般 
等 这 个 规则 应 用 到 客户 端 计 算 机 后 就 会 生效 。 需 要 注意 的 是 ，AppLocker 规 则 的 应 用 还 与 规 
则 强制 设置 有 关 。 

规则 强制 设置 分 为 未 配置 、 强 制 规则 与 仅 审核 3 种 ， 默 认 是 未 配置 ， 例 如 图 11-3-20 中 4 类 
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规则 的 状态 都 显示 为 “未 配置 强制 : 强制 规则 ”， 冒 号 前 面 的 “未 配置 强制 ”表示 它们 的 规 
则 强制 设置 都 是 未 配置 ， 而 未 配置 的 规则 类 别 默认 会 被 设置 为 强制 规则 《显示 在 冒号 后 面 的 
“强制 规则 ”) 。 


er | 画 weaon saaml 
》 重 PP 去 全 第 咎 , 在 Active Directory | ma 
可 有 永生 瑟 四 


图 11-3-20 


如 果 要 更 改 规则 强制 设置 ， 请 单 击 图 11-3-20 右 边 上 方 的 配置 规则 强制 ， 然 后 在 图 11-3-21 
中 针对 不 同 的 规则 类 别 色 选 ， 图 中 色 选 了 可 执行 规则 类 别 ， 可 供 选 择 的 规则 强制 包括 强制 规 
则 与 仅 审 核 。 其 中 仅 审 核 会 审核 用 户 执行 程序 的 行为 ， 但 不 会 强制 ， 也 就 是 用 户 不 会 受到 规 
则 的 限制 ， 但 系统 会 在 AppLocker 事件 日 志 中 记录 与 此 规则 相关 的 信息 ， 以 供 系 统管 理 员 参 
考 。 只 能 对 整个 类 别 来 设置 规则 强制 ， 无 法 单独 对 单一 规则 进行 设置 。 
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如 果 组 织 单位 业务 部 有 多 个 GPO， 这 些 GPO 的 AppLocker 规 则 会 合并 应 用 到 业务 部 内 的 
计算 机 。 如 果 组 织 单位 业务 部 上 层 的 域 sayms.local 也 设置 了 AppLocker 规 则 ， 则 这 些 规则 会 合 
并 应 用 到 业务 部 内 的 计算 机 。 

如 果 业 务 部 的 AppLocker 规 则 强制 的 设置 为 未 配置 ， 但 是 上 层 域 sayms.local 处 的 规则 强制 
已 经 配置 ， 则 业务 部 会 继承 上 层 域 sayms.local 的 设置 ， 例 如 上 层 域 sayms.local 的 AppLocker 规 则 
强制 设置 为 仅 审核 ， 业 务 部 的 规则 强制 设置 为 未 配置 ， 则 业务 部 的 最 后 有 效 配置 为 仅 审核 。 

如 果 业 务 部 的 AppLocker 规 则 强制 已 经 配置 ， 则 无 论 上 层 域 sayms.local 处 的 规则 强制 配置 为 
何 ， 业 务 部 的 规则 强制 设置 就 是 其 本 身 的 定义 。 例 如 ， 上 层 域 sayms.local 的 AppLocker 规 则 强制 
配置 为 仅 审核 ， 业 务 部 的 规则 强制 配置 为 强制 规则 ， 则 业务 部 的 最 后 有 效 设 置 为 强制 规则 。 


下 面 假设 要 针对 图 11-3-9 中 组 织 单位 业务 部 内 的 所 有 计算 机 进行 配置 ， 并 设置 禁止 所 有 


用 户 在 这 些 计 算 机 上 执行 动态 磁 贴 程序 天 气 〈 它 是 .appx 应 用 程序 ) 。 以 下 实例 演练 延续 前 一 
[个 实例 演练 的 环境 ， 也 就 是 假设 已 经 针对 组 织 单位 业务 部 建立 了 测试 用 的 GPO， 我 们 将 利用 
目 示 GPo 进 行 演练 
| 由 于 Windows Server 2016 计 算 机 上 并 没有 天 气 等 动态 磁 贴 程序 可 作为 参考 〈 后 述 ) ， 
此 以 下 步骤 我 们 将 借助 于 Windows 10 计 算 机 。 


LSTEP 回 以 域 系统 管理 员 账 户 登录 到 已 经 加 入 域 的 Windows 10 计 算 机 。 
STEP 四 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools for Windows 10 
( Windows 10 的 远程 服务 器 管理 工具 ) 。 
STEP 图 ” 单 击 左下 角 开 始 图 标 田 9Windows 管理 工具 2 组 策略 管理 人 展开 到 组 织 单位 业务 部 
2 选中 测试 用 的 GPO 右 击 纺 编辑 。 
LSTEP 四 展开 计算 机 配置 3 策略 3Windows 设 置 2 安全 设置 3 应 用 程序 控制 策略 
2AppLocker3 展 开封 装 应 用 规则 确认 图 11-3-22 中 已 经 建立 了 默认 规则 ( 否则 需 
要 选中 封装 应 用 规则 右 击 纺 创建 默认 规则 ) 。 


二 Windows Server 2016 系统 配置 指南 


STEP 图 如 图 11-3-23 所 示 选 中 封装 应 用 规则 右 击 信 创建 新 规则 。 


STEP 回 。 出 现在 你 开始 前 界面 时 单 击 病 国 汪 按钮 。 
STEP 如 图 11-3-24 所 示 选 择 拒绝 后 单 击 病 国 国 按钮。 


图 11-3-24 


STEP 回 。 如 图 11-3-25 所 示 选 择 使 用 安装 的 封装 应 用 作为 参考 后 单 击 吐 蛮 按 钮 。 


STEP 回 ”在 图 11-3-26 中 勾 选 天 气 后 单 击 釉 汪 按 钮 。 之 所 以 要 到 Windows 10 的 计算 机 上 执行 
这 些 操作 ， 是 因为 Windows 10 计 算 机 上 才 会 安装 这 些 封 装 的 应 用 程序 ， 也 因此 在 
图 11-3-26 中 才 会 有 天 气 等 可 供 选择 。 
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如 人 下 醒 二 中 计 择 应 用 程序 


应 用 程序 程序 包 名 称 程序 包 版 本 

口 。 中 cerosoft Appeonnector 抽 ii crosoft. Appconnector 1.3.3.0 

口 。 财经 有 iorosoft. BingpFinance 4.3.193.0 

口 。 资讯 Wi crosoft. BingNews 4.3.193.0 

口 。M6 erosoft. BingSports 有 Ecorosoft. BingSports 4.3.193.0 Ci crosoft Corpor 


口 有 crosoft.Dffice.DneNote 。 了 icrosoft.0ffice.0negote 17.4201.10091.0 Cicrosoft Corpor 
口 。 有 crosoft. SkypehApp IEi orosoft. SjeypeApp 3.2.41.0 CN=Skype Software S 


图 11-3-26 


上 在 图 11-3-27 中 还 可 以 通过 发 布 者 、 程 序 包 名 称 ( 应 用 程序 名 称 ) 与 程序 包 版 本 来 
进一步 筛选 。 此 处 我 们 忽略 版 本 ， 也 就 是 将 滑 块 从 程序 包 版 本 向 上 移动 到 程序 包 名 
| 称 ， 表 示 不 论 任何 版 本 的 天 气 应 用 程序 都 拒绝 运行 。 完 成 后 可 直接 单 击 病 辆 按钮 


或 一 直 单 击 斋 国 于 慷 钮 ， 最 后 单 击 病 国 按钮 。 


STEPE 图 11-3-28 为 完成 后 的 界面 。 


局 组 第 由 管理 编 壹 吉 


和 路 | 雪 曾 | 最 | 目 回 


> 和 
》 辜 高 级 审 校 第 咯 配置 
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STEPE 辐 客户 端 需要 启动 Application Identity 服 务 才 具 备 Applocker 功 能 ， 首 先 要 确认 客户 端 
计算 机 中 该 服务 已 经 被 设置 为 自动 启动 ( 参考 前 一 个 演练 的 说 明 ) 。 

STEPE 加 ”请 重新 启动 位 于 组 织 单位 业务 部 内 的 客户 端 计算 机 ( WINI0PC1 ) ， 然 后 利用 普通 
用 户 账户 登录 ， 当 单 击 天 气动 态 磁 贴 时 ， 就 会 显示 如 图 11-3-29 中 间 所 示 被 阻止 的 
界面 。 由 于 系统 并 没有 阻止 其 他 动态 磁 贴 程序 ， 因 此 可 以 正常 执行 相片 、 日 历 、 
市 场 等 动态 磁 贴 程序 ( 不 要 利用 Administrator 账 户 登 录 测 试 ， 因 为 Administrator 本 
来 就 不 被 允许 执行 这 些 动 态 磁 贴 程序 ) 。 


图 11-3-29 


11.3.5 组 策略 例外 排除 


前 面 曾经 通过 测试 用 的 GPO 的 用 户 配 置 来 删除 组 织 单位 业务 部 内 所 有 用 户 的 Windows 防 
火 墙 ， 也 可 以 让 此 GPO 不 要 应 用 到 特定 用 户 ， 例 如 业务 部 经 理 Paul， 这 样 一 来 他 便 仍 然 可 以 
拥有 Windows 防 火 墙 。 这 个 操作 被 称 为 组 策略 筛选 。 

组 织 单位 业务 部 内 的 所 有 用 户 默 认 都 会 应 用 该 组 织 单位 的 所 有 GPO 设 置 ， 因 为 他 们 对 这 
些 GPO 都 具有 读 取 与 应 用 组 策略 权限 ， 以 测试 用 的 GPO 为 例 可 以 【如 图 11-3-30 所 示 单 击 测试 
用 的 GPO 右 测 委派 选项 卡 下 的 按钮 纺 然 后 从 图 11-3-31 可 得 知 Authenticated Users 〈 见 第 4 
章 的 说 明 ) 具备 这 两 个 权限 】。 


这 些 组 和 用 户 拥有 此 6PO 的 指定 权限 
拒 和 用 户 (GF 


[se 并 99 和 限 至 冯 
| 

| 名 Domain Admins (SAYMSVDomain Admins)。 符 各 设 于 ,到 玲 、 候 改 安全 性 。 理 

| 六 Enterprice Admins (SAYMSNEnterprise Ad_， 六 痊 设置 , 开除 、 修 改 安全 性 。 天 

| | 晤 ENTERPRISE DOMAIN CONTROLLERS 谈 取 香 

| 隔 SYSTEN 六 注 设 壮 ， 型 除 、 修 改 安全 性 否 

| 


图 11-3-30 
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若 不 想 要 将 此 GPO 设 置 应 用 到 用 户 Paul， 只 要 单 击 吴 员 按 钮 、 选 择 用 户 Paul 再 将 Paul 的 
这 两 个 权限 设置 为 拒绝 即 可 ， 如 图 11-3-32 所 示 。 


11-3-31 11-3-32 


11.4 本 地 安全 策略 


可 以 利用 图 11-4-1 中 背景 图 本 地 计算 机 策略 中 的 安全 设置 或 【 单 击 左下 角 开 始 图 标 
田 QWindows 管理 工具 令 本 地 安全 策略 〈 图 11-4-1 中 前 景 图 ) 】 的 方法 设置 计算 机 的 安全 性 ， 
这 些 设置 包括 密码 策略 、 账 户 锁定 策略 与 本 地 策略 等 。 


下 面 利用 本 地 安全 策略 来 练习 ， 并 建议 到 未 加 入 域 的 计算 机 上 练习 ， 以 免 受 到 域 组 策略 
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的 干扰 ， 因 为 域 组 策略 的 优先 级 较 高 ， 可 能 会 造成 本 地 安全 策略 的 设置 无 效 ， 因 而 影响 到 验 
证 实验 结果 。 


此 处 将 介绍 密码 策略 与 账户 锁定 的 方式 。 


密码 策略 
请 如 图 11-4-2 所 示 单 击 密码 策略 。 


11-42 


在 选择 图 11-4-2 中 右 例 的 策略 后 ， 若 系统 不 允许 修改 设置 值 的 话 ， 则 表示 这 合计 算 机 已 
经 加 入 域 ， 且 该 策略 在 域内 已 经 设置 了 ， 此 时 会 以 域 设置 为 其 最 后 有 效 设 置 值 ( 未 加 入 
域 之 前 ， 在 本 地 设置 的 相关 策略 就 已 经 自动 无 效 ) 。 | 


匀 用 可 还 原 的 加 密 来 储存 密码 : 如 果 应 用 程序 需要 读 取 用 户 的 密码 ， 以 便 验 证 用 户 身 ， 
份 的 话 ， 就 可 以 启用 此 功能 。 下 过 因为 它 相 当 于 用 户 密 码 没有 加 密 ， 因 此 不 安全 ， 
所 以 建议 若非 必要 ， 请 不 要 启用 此 功能 。 

半 ”密码 必须 符合 复杂 性 要 求 : 此 时 用 户 的 密码 必须 满足 以 下 要 求 《 这 是 默认 值 ) 。 
国 不 能 包含 用 户 账 户 名 称 或 全 名 。 | 
国 长 度 至 少 要 6 个 字符 。 
国 至 少 要 包含 A~Z、a~z、0-9、 非 字母 字符 (例如 !、$、 打 %) 等 4 组 字符 中 的 3 组 。 
因此 123ABCdef 是 有 效 的 密码 ， 而 87654321 是 无 效 的 ， 因 为 它 只 使 用 了 数字 这 一 种 字 
符 。 又 例如 如 果 用 户 账 户 名 称 为 mary， 则 123ABCmary 是 无 效 密码 ， 因 为 它 包含 了 用 
户 账户 名 称 。 

浊 密码 最 长 使 用 期 限 : 用 来 设置 密码 最 长 的 使 用 期 限 (可 为 0-999 天 ) 。 用 户 在 登录 
时 ， 若 密码 使 用 期 限 已 到 的 话 ， 系 统 会 要 求 用 户 更 改 密码 。0 表 示 密 码 没有 使 用 期 限 
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限制 。 默 认 值 是 42 天 。 
站 密码 最 短 使 用 期 限 : 用 来 设置 用 户 密码 最 短 的 使 用 期 限 (可 为 0-998 天 ) ， 期 限 未 到 
前 ， 用 户 不 能 更 改 密 码 。0 (默认 值 ) 表示 用 户 可 随时 更 改 密码 。 
外 强制 密码 历史 : 用 来 设置 是 否 要 保存 用 户 曾 经 使 用 过 的 旧 密 码 ， 以 便 用 来 确定 用 户 
在 更 改 其 密码 时 是 否 可 以 重复 使 用 旧 密 码 。 
国 1]~24: 表示 要 保存 密码 历史 记录 。 例 如 ， 设 置 为 5， 则 用 户 的 新 密码 不 能 与 前 5 次 
曾经 使 用 过 的 旧 密 码 相 同 。 
国 0 (默认 值 ) : 表示 不 保存 密码 历史 记录 ， 因 此 密码 可 以 重复 使 用 ， 也 就 是 用 户 
更 改 密码 时 ， 可 以 将 其 设置 为 以 前 曾经 使 用 过 的 任何 一 个 旧 密 码 。 
外 密码 长 度 最 小 值 : 用 来 设置 用 户 的 密码 最 少 需要 几 个 字符 。 此 处 可 为 0~-14，0 (默认 
值 ) 表示 用 户 可 以 没有 密码 。 


账户 锁定 策略 
可 以 选择 图 11-4-3 中 的 账户 锁定 策略 来 设置 账户 锁定 的 方式 。 


妈 本 地 安全 第 赂 
名 趾 | 直 国 | 四 | 目 回 
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习 账户 锁定 阅 值 : 它 定 义 当 用 户 登 录 多 次 失败 后 (密码 错误 ) ， 就 将 该 用 户 账户 锁 
定 ， 在 未 被 解除 锁定 之 前 ， 用 户 无 法 再 利用 此 账户 来 登录 。 此 处 用 来 设置 登录 失败 
次 数 ， 其 值 可 为 0~-999。 默 认 值 为 0， 表 示 账 户 永 远 不 会 被 锁定 。 

站 账户 锁定 时 间 : 用 来 设置 锁定 账户 的 时 间 ， 时 间 过 后 自动 解除 锁定 。 此 处 可 为 
0~99999 分 钟 ，0 分 钟表 示 永 久 锁定 ， 不 会 自动 被 解除 锁定 ， 这 种 情况 下 需要 由 系统 
管理 员 手 动 解除 锁定 ， 也 就 是 将 图 11-4-4 中 账户 已 锁定 的 选项 清除 (账户 被 锁定 后 才 
会 出 现 此 勾 选 ) : 

涪 重 置 账户 锁定 计数 器 : “锁定 计数 器 ”用 来 记录 用 户 登 录 失 败 的 次 数 ， 其 起 始 值 为 

0， 用 户 如 果 登 录 失 败 ，- 锁 定 计 数 的 值 就 会 加 1， 若 登录 成 功 ， 则 此 值 会 归 零 。 如 果 
此 值 等 于 账户 锁定 阐 值 ， 该 账户 就 会 被 锁定 。 
如 果 用 户 最 近 一 次 登录 失败 后 ， 到 现在 为 止 已 经 超过 此 处 设置 的 时 间 ， 则 此 值 会 自 
动 归 零 。 以 图 11-4-5 来 说 ， 若 用 户 连续 3 次 登录 失败 的 话 ， 其 账户 就 会 被 锁定 。 在 尚 
未 连续 3 次 登录 失败 之 前 ， 若 最 近 一 次 登录 失败 后 ， 到 现在 为 止 已 超过 30 分 钟 的 话 ， 
则 此 值 会 归 零 。 
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此 处 要 介绍 的 本 地 策略 包含 用 户 权限 分 配 与 安全 选项 策略 。 


用 户 权限 分 配 


可 以 通过 图 11-4-6 的 用 户 权限 分 配 将 权限 分 配给 特定 的 用 户 或 组 。 需 要 分 配 图 中 右 侧 任 ， 
何 一 个 权限 给 用 户 或 组 时 ,只 要 双击 该 权限 ， 然 后 将 用 户 或 组 加 入 即 可 。 下 面 只 几 侦 
常用 的 权限 来 加 以 说 明 。 


此 处 的 『 用户 权 限 分 配 」 原文 为 User Rights Assignment， 应 被 翻译 为 「 用 户 权利 分 
配 」， 不 过 中 文 版 将 permission ( 权限 ) 与 rights 都 翻译 为 | 权限 | 。 


忆 允许 本 地 登录 : 允许 用 户 直 接 在 这 台 计 算 机 上 有 登录 (例如 按 加 加 + 攻 目 加 下 键 ) . 


区 区 区 区 区 区 区 区 区 


区 区 区 


第 11 章 组 策略 与 安全 设置 正二 


拒绝 本 地 登录 : 与 前 一 个 权限 刚好 相反 。 此 权限 优先 于 前 一 个 权限 。 

将 工作 站 添加 到 域 : 允许 用 户 将 计算 机 加 入 域 。 

关闭 系统 : 允许 用 户 将 此 计算 机 关机 。 

从 网 络 访问 此 计算 机 : 允许 用 户 通过 网 络 上 其 他 计算 机 连接 、 访 问 此 计算 机 。 

拒绝 从 网 络 访问 这 台 计 算 机 : 与 前 一 个 权限 刚好 相反 。 此 权限 优先 于 前 一 个 权限 。 
从 远程 系统 强制 关机 : 允许 用 户 从 远程 计算 机 来 对 这 台 计 算 机 关机 。 

备份 文件 和 目录 : 允许 用 户 备份 硬盘 内 的 文件 与 文件 夹 。 

还 原文 件 和 目录 : 允许 用 户 还 原 所 备份 的 文件 与 文件 夹 。 

管理 审核 和 安全 日 志 : 允许 用 户 定 义 要 审核 的 事件 ， 也 允许 用 户 查询 与 清除 安全 日 
志 。 

更 改 系统 时 间 : 允许 用 户 更 改 计算 机 的 系统 日 期 与 时 间 。 

加 载 和 乞 载 设 备 驱动 程序 : 允许 用 户 加 载 与 即 载 设 备 的 驱动 程序 。 

取得 文件 或 其 他 对 象 的 所 有 权 : 允许 夺取 其 他 用 户 所 拥有 的 文件 、 目 录 或 其 他 对 象 
的 所 有 权 。 


安全 选项 
可 以 利用 图 11-4-7 的 安全 选项 来 启用 一 些 安全 设置 ， 下 面 对 常 用 的 选项 进行 说 明 。 


站 


交互 式 登 录 : 无 须 按 Ctrl+AlttDel 

使 登录 界面 不 要 显示 类 似 按 下 Ctrl+Alt+Delete 登 录 的 提示 消息 (交互 式 登录 就 是 在 
计算 机 前 登录 ， 而 不 是 通过 网 络 登录 ) 。 

交互 式 登录 : 不 显示 最 后 的 用 户 名 

客户 端 在 登录 界面 上 不 显示 上 一 次 登录 者 的 用 户 名 称 。 

交互 式 登录 : 提示 用 户 在 过 期 之 前 更 改 密码 

用 来 设置 在 用 户 的 密码 过 期 前 几 和 天， 提示 用 户 更 改 密码 。 
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站 交互 式 登录 : 之 前 登录 到 缓存 的 次 数 〔 域 控制 器 不 可 用 时 ) 
域 用 户 登 录 成 功 后 ， 其 账户 信息 会 被 存储 到 用 户 计 算 机 的 缓存 区 ， 如 果 之 后 此 计算 
机 因 故 无 法 与 域 控制 器 连接 的 话 ， 该 用 户 登 录 时 还 是 可 以 通过 缓存 区 的 账户 数据 来 
验证 身份 与 登录 的 。 可 以 通过 此 策略 来 设置 缓存 区 内 账户 信息 的 数量 ， 默 认为 记录 
10 个 登录 用 户 的 账户 信息 。 
站 交互 式 登录 : 试图 登录 的 用 户 的 消息 文本 
如 果 用 户 在 计算 机 前 登录 时 ， 如 果 希 望 在 其 登录 界面 上 能 够 显示 提示 信息 的 话 ， 可 以 
通过 这 两 个 选项 来 设置 ， 其 中 一 个 用 来 设置 信息 标题 文字 ， 一 个 用 来 设置 信息 内 容 ， 
浊 关机 : 允许 系统 在 未 登录 的 情况 下 关闭 
在 登录 界面 的 右 下 角 显 示 关 机 图 标 ， 以 便 在 不 需要 登录 的 情况 下 可 以 直接 通过 此 图 
标 对 计算 机 关机 。 


11.5 域 和 域 控制 器 安全 策略 


可 以 针对 图 11-5-1 中 的 域 sayms.local (sayms) 来 设置 安全 策略 ， 此 策略 设置 会 被 应 用 到 
域内 的 所 有 计算 机 与 用 户 。 也 可 以 针对 域内 的 组 织 单位 来 设置 安全 策略 ， 例 如 图 11-5-1 中 的 
Domain Controllers 与 业务 部 ， 此 策略 会 应 用 到 该 组 织 单位 内 的 所 有 计算 机 与 用 户 。 下 面 针 对 
域 sayms.local 与 组 织 单位 Domain Controllers 来 说 明 安 全 策略 。 


妖 Active Diredory 管理 中 心 本 口 愉 


柜 Active Director 《Sayms 入 因 人 4 习 


可 以 在 域 控制 器 上 利用 系统 管理 的 身份 登录 ， 然 后 通过 【【 单 击 左 下 角 开 始 图 标 
图 QWindows 管理 工具 Q 组 策略 管理 人 如 图 11-5-2 所 示 选 中 Default Domain Policy 这 个 GPO 碳 击 
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| 编辑】 来 设置 域 安全 策略 。 由 于 它 的 设置 方式 与 本 地 安全 策略 相同 ， 因 此 此 处 不 再 重复 ， 


仅 列 出 注意 事项 。 


Default Domain Policy 
作用 域 | 详细 信息 设置 委派 
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站 隶属 于 域 的 任何 一 台 计 算 机 都 会 受到 域 安 全 策略 的 影响 。 

浊 隶属 于 域 的 计算 机 ， 若 其 本 地 安全 策略 设置 与 域 安 全 策略 设置 有 冲突 ， 则 以 域 安 全 
策略 设置 优先 ， 也 就 是 本 地 设置 自动 无 效 。 
例如 计算 机 Server3 隶 属于 域 sayms.local， 且 Server3 本 地 安全 策略 中 已 启用 交互 式 登 
录 : 不 显示 最 后 的 用 户 名 ， 此 时 若 将 域 安 全 策略 内 的 相同 策略 停 用 ， 则 用 户 在 计算 
机 Server3 计 算 机 上 登录 时 ， 还 是 会 看 到 上 一 次 登录 用 户 的 账户 名 称 ， 因 为 域 安全 策 
略 优先 于 本 地 安全 策略 ， 同 时 本 地 安全 策略 内 的 相同 策略 也 会 自动 被 改 为 停 用 ， 而 
且 不 允许 更 改 。 
只 有 在 域 安 全 策略 内 的 设置 是 被 定义 成 如 图 11-5-3 所 示 的 没有 定义 时 ， 本 地 安全 策略 
的 设置 才 有 效 ， 也 就 是 如 果 域 安全 策略 内 的 设置 是 被 设置 成 已 启用 或 已 停 用 ， 则 本 
机 安全 策略 的 配置 无 效 。 
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半 域 安全 策略 的 设置 发 生变 化 时 ， 这 些 策 略 需要 应 用 到 本 地 计算 机 后 才 对 本 地 计算 机 
有 效 。 应 用 时 ， 系 统 会 比较 域 安全 策略 与 本 地 安全 策略 ， 并 以 域 安全 策略 的 设置 优 
先 。 本 地 计算 机 何 时 才 会 应 用 域 策略 内 发 生 改 动 的 设置 呢 ? 


本 地 安全 策略 发 生 改 动 时 。 

本 地 计算 机 重新 启动 时 。 

如 果 此 计算 机 是 域 控制 器 ， 则 它 默 认 每 隔 $ 分 钟 会 自动 应 用 ; 如 果 不 是 域 控制 器 
的 话 ， 则 它 默 认 每 隔 90 到 120 分 钟 会 自动 应 用 。 应 用 时 会 自动 读 取 发 生 更 改 的 设 
置 。 所 有 计算 机 每 隔 16 小 时 也 会 自动 强制 应 用 域 安全 策略 内 的 所 有 设置 ， 即 使 策 
略 设置 没有 发 生变 动 。 

执行 gpupdate 命 令 手 动 应 用 ; 如 果 要 强制 应 用 的 话 (即使 策略 设置 没有 变化 ) ， 
可 以 执行 gpupdate /force 命 令 。 


如 果 域 内 有 多 人 台 域 控制 器 的 话 ， 则 域 成 员 计 算 机 在 应 用 域 安全 策略 时 是 从 其 所 连接 的 域 
控制 露 来 读 取 与 应 用 策略 的 。 因 为 这 些 策 略 设置 默认 都 是 固定 先 存储 在 域内 的 第 一 合 域 
控制 器 ( 被 称 为 PDC 操 作 主 机 ) 内 ， 而 系统 默认 是 在 15 秒 钟 后 将 这 些 策 略 设置 复制 到 其 


他 域 控制 器 ( 也 可 以 自行 手动 复制 ) 。 必 须 等 到 这 些 策 略 设置 被 复制 到 其 他 域 控制 器 
后 ， 才 能 够 保证 域内 所 有 计算 机 都 可 以 成 功 地 应 用 这 些 策 略 。 详 情 可 参考 6.4 节 的 说 明 。 
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域 控制 器 安全 策略 设置 会 影响 组 织 单位 Domain Controllers 内 的 域 控制 器 〈 见 图 11-$-4) ， 
对 位 于 其 他 组 织 单位 或 容器 内 的 计算 机 《与 用 户 ) 并 没有 影响 。 


图 11-5-4 


可 以 到 域 控制 器 上 利用 系统 管理 员 身 份 登录 ， 然 后 通过 【 单 击 左下 角 开 始 图 标 
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国 3Windows 管理 工具 令 组 策略 管理 人 如 图 11-5-5 所 示 选 中 Default Domain Controllers Policy 右 
击 人 编辑 】 的 方法 来 设置 域 控制 器 安全 策略 。 由 于 它 的 设置 方式 与 域 安 全 策略 、 本 地 安全 策 
略 相同 ， 因 此 此 处 不 再 重复 ， 仅 列 出 注意 事项 。 


Default Doaain Controllers Policy 


作用 域 详细 信息 设置 “委派 


一 一 一 一 ~ 


图 11-5-5 


”位 于 组 织 单位 Domain Controllers 内 的 所 有 域 控制 器 都 会 受到 域 控制 器 安全 策略 的 影响 。 

站 域 控制 器 安全 策略 的 设置 必须 要 应 用 到 域 控 制 器 后 ， 这 些 设置 对 域 控 制 器 才 有 作 
用 。 应 用 时 机 与 其 他 相关 说 明 在 前 面 已 介绍 过 了 。 

六 域 控制 器 安全 策略 与 域 安 全 策略 的 设置 有 冲突 时 ， 对 位 于 Domain Controllers 容 器 内 
的 计算 机 来 说 ， 默 认 是 以 域 控制 器 安全 策略 的 设置 优先 ， 也 就 是 域 安 全 策略 自动 无 
效 。 不 过 账户 策略 例外 : 域 安全 策略 中 的 账户 策略 设置 对 域内 所 有 的 用 户 都 有 效 ， 
就 算 用 户 账 户 是 位 于 组 织 单位 Domain Controllers 内 也 有 效 ， 也 就 是 说 域 控制 器 安全 
策略 的 账户 策略 对 Domain Controllers 容 器 内 的 用 户 没有 作用 。， 


11.6 组 策略 首选 项 设置 


可 以 通过 组 策略 首选 项 〈group policy preferences) 来 设置 用 户 或 计算 机 的 工作 环境 。 由 
图 1I-6-1 中 可 看 出 组 策略 设置 被 分 类 为 策略 与 首选 项 两 部 分 ， 其 中 策略 设置 已 在 前 面 几 节 内 
介绍 过 ， 而 首选 项 与 策略 的 主要 差异 是 : 


外 只 有 域 组 策略 才 有 首选 项 功能 ， 本 地 计算 机 策略 并 无 此 功能 。 

引 首选 项 非 强制 性 ， 客 户 端 可 自行 更 改 设置 值 ， 因 此 首选 项 适合 用 来 当 作 默认 值 ; 然 
而 策略 是 强制 性 设置 ， 客 户 端 应 用 这 些 设置 后 就 无 法 更 改 。 

站 如 果 要 筛选 策略 的 话 ， 必 须 针 对 整个 GPO 来 利 选 ， 例 如 前 面 练习 过 不 要 将 测试 用 的 
GPO 应 用 到 业务 部 经 理 Paul， 是 指 整个 GPO 的 所 有 设置 项 目 都 不 会 被 应 用 到 Paul; 
然而 首选 项 可 以 针对 单一 设置 项 目 进行 筛选 。 
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如 果 策 略 与 首选 项 内 有 相同 的 设置 项 目 ， 而 且 都 已 做 了 设置 ， 但 是 其 设置 值 却 不 相同 
时 ， 则 以 策略 设置 优先 ， 换 句 话 说， 最 后 有 效 的 设置 值 是 策略 的 设置 。 


己 组 第 赂 管理 编 加 里 


文件 上 昌 。 捧 作 (A) 查看 (V) 帮助 (H) 
和 中 | 曾 | 国 忆 | 目 画 
可 向 9GPO EERVERLSAWMSLOCAU 宙 


11-6-1 


要 应 用 首选 项 的 客户 端 计算 机 需 安装 支持 首选 项 的 client-side extension (CSE) ， 
Windows 7【〈 含 ) 、Windows Server 2008〈 含 ) 之 后 的 系统 内 已 含 此 CSE，Windows Vista 
SP1&SP2 也 可 以 通过 安装 Windows Vista 的 Microsoft 远 程 服务 器 管理 工具 〈Microsoft Remote 
Server Administration Tools for Windows Vista) 来 安装 此 CSE。 

另外 ， 由 图 11-6-1 还 可 以 看 出 首选 项 分 为 以 下 两 部 分 : 

站 Windows 设 置 : 以 前 可 能 需要 通过 编写 脚本 (scripts ) 才 做 得 到 的 事情 ， 现 在 可 以 通 

过 此 处 进行 设置 ， 不 需要 再 编写 脚本 了 ， 例 如 磁盘 驱动 器 映射 、 环 境 变 量 设置 、 登 
录 参 数 设 置 、 建 立 目录 与 文件 等 。 
浊 控制 面板 设置 : 用 来 设置 客户 端 控制 面板 内 的 项 目 ， 例 如 地 区 选项 、 电 源 选 项 等 ， 


们 站 


以 下 仍然 沿用 前 面 几 节 的 演练 环境 。 我 们 要 让 位 于 组 织 单位 业务 部 内 的 用 户 Paul 登 录 
时 ， 其 驱动 器 号 Z: 会 自动 连接 到 \Serverl\Database 共 享 文件 夹 ， 不 过 同样 是 位 于 业务 部 内 的 
其 他 用 户 登 录 时 不 会 有 到 磁盘 。 我 们 要 利用 前 面 所 建立 的 测试 用 的 GPO 来 练习 。 


STEP 和 加 ” 先 到 服务 器 Serverl 上 建立 文件 夹 Database， 并 将 其 设置 为 共享 文件 夹 ， 然 后 为 
Everyone 开 放 读 取 / 写 入 的 共享 权限 。 

STEP 贺 到 域 控 制 器 上 利用 域 系统 管理 员 账 户 登 录 。 

STEP 贺 单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 23 组 策略 管理 。 

STEP 贺 在 图 11-6-2 中 选中 组 织 单位 业务 部 之 下 的 测试 用 的 GPO 右 击 2 编 辑 。 
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| 作用 域 详细 信息 ,设置 委派， 
链接 


图 11-62 


STEP 回 ”如 图 11-6-3 所 示 展 开 用 户 配 置 了 首选 项 2Windows 设 置 了 选中 驱动 器 映射 扩展 在 击 
新 建 人 映射 驱动 器 。 


在 Windows 设 置 下 的 应 用 程序 、 驱 动 器 映射 、 环 境 等 被 称 为 扩展 ( extension ) 。 


STEP 回 “在 图 11-6-4 中 的 操作 处 选择 更 新 、 位 置 处 输入 共享 文件 夹 路 径 \Serverl\ Database， 
使 用 Z: 磁 盘 来 连接 此 共享 文件 夹 ， 勾 选 重新 连接 以 便 客户 端 每 次 登录 时 都 会 自动 利 
用 Z: 磁 盘 来 连接 。 其 中 的 操作 可 以 有 以 下 选择 ; 
半 创建 : 会 在 客户 端 计算 机 上 建立 用 来 连接 此 共享 文件 夹 的 Z: 磁 盘 。 
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N 替换， 客户 端 如 果 已 经 存在 网 络 驱动 器 Z: 的 话 ， 则 将 其 删除 后 改 以 此 处 的 设置 来 取 
代 。 如 果 客户 端 不 存在 Z: 磁 盘 的 话 ， 则 新 建 。 
涪 更 新 : 月 的 所 和 
账户 与 密码 。 如 果 客 户 端 不 存在 Z: 磁 盘 的 话 ， 则 新 建 。 此 处 选择 默认 的 和 更新。 
站 删除 : 删除 客户 端的 Z: 磁 盘 。 


STEP 加 ”打开 图 11-6-5 中 的 常用 选项 卡 并 按 图 进行 勾 选 。 


站 “如果 发 生 错误 ， 则 停止 处 理 该 扩展 中 的 项 目 : 如 果 磁 盘 驱 动 器 扩展 内 有 多 个 设置 项 
目的 话 ， 默 认 是 当 系 统 在 处 理 本 项 目 时 ， 著 发 生 错 误 ， 则 仍然 会 继续 处 理 下 一 个 项 
目 ， 如 果 勾 选 此 选项 ， 就 会 停止 ， 不 再 继续 处 理 下 一 个 项 目 。 

浊 在 登录 用 户 的 安全 上 下 文中 运行 (用 户 策略 选项 ) : 客户 端 CSE 默 认 是 利用 本 地 系 
统 账 户 身 份 来 处 理 首 选项 的 项 目 ， 这 使 得 CSE 只 能 访问 可 供 本 地 计算 机 访问 的 环境 
变量 与 系统 资源 ， 而 此 选项 可 让 CSE 改 用 用 户 的 登录 身份 来 处 理 首选 项 的 项 目 ， 奶 
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此 CSE 就 可 访问 本 地 计算 机 无 权 访 问 的 资源 或 用 户 环境 变量 ， 例 如 此 处 利用 网 络 驱 
动 器 Z: 来 连接 网 络 共 享 文件 夹 \ServerlNDatabase， 就 需要 勾 选 此 选项 。 

站 当 不 再 应 用 项 目 时 删除 此 项 目 : 当 GPO 被 删除 后 ， 客 户 端 计算 机 内 与 该 GPO 内 策略 
有 关 的 设置 都 会 被 删除 ， 然 而 与 首选 项 有 关 的 设置 仍然 会 被 保留 ， 例 如 此 处 的 网 络 
驱动 器 Z: 仍 然 会 被 保留 。 如 果 义 选 此 选项 的 话 ， 则 与 首选 项 有 关 的 设置 会 被 删除 。 

半 应 用 一 次 且 不 重新 应 用 : 客户 端 计 算 机 默认 会 每 隔 90 分 钟 重新 应 用 GPO 内 的 首选 
项 ， 因 此 如 果 用 户 自 行 更 改 设置 的 话 ， 则 重新 应 用 后 又 会 恢复 为 首选 项 内 的 设置 
值 ， 如 果 和 希望 用 户 能 够 保存 自行 更 改 的 设置 值 的 话 ， 需 要 勾 选 此 选项 ， 此 时 它 只 会 
应 用 一 次 。 

沁 项 目 级 别 目 标 : 允许 针对 每 一 个 首选 项 项 目 来 决定 此 项 目的 应 用 目标 ， 例 如 可 以 选 
择 将 其 只 应 用 到 特定 用 户 或 Windows 系 统 (客户 端 计算 机 必须 是 该 系统 才 可 以 应 
用 ) 。 本 演练 只 是 要 将 设置 应 用 到 组 织 单位 业务 部 内 的 单一 用 户 Paul， 因 此 需要 勾 

选 此 选项 。 

[srEp 回 。 单 击 图 11-6-5 中 常用 选项 卡 下 的 国 呈 按 钮 ， 以 便 将 此 项 目的 应 用 对 象 定义 到 用 户 

Paul， 换 句 话说 ， 此 项 目的 目标 为 用 户 Paul。 

ESTEP 回 “在 图 11-6-6 中 单 击 左上 角 的 新 建 项 目 后 选择 最 下 方 的 用 户 。 


GEman > 添加 集合 (C) | 项 目 迁 项 (O) - | 必 生 | 总 区 总- X 8 | 克 帮 了 0) 放 大 


图 1166 
STEPE 四 在 图 11-6-7 的 用 户 处 浏览 或 选择 将 此 项 目 应 用 到 域 SAYMS 的 用 户 Paul 后 单 击 甘 漳 
按钮 。 


了 目标 编 各 器 
新 建 硕 目 (N) - | 添加 集合 (C) | 项 目 选项 (O) -| < 二 | X 塌 - X 2 | @@ 帮 pH 


me 
按 SID 匹配 (M) 
只 有 进行 处 理 的 用 户 是 目标 项 中 指定 的 用 户 时 ， 用 户 目 标 项 才 允 许 梅 首选 项 应 用 到 用 户 。 其 他 信息 
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STEP E 加 。 回 到 新 建 驱动 器 属性 界面 时 单 击 芋 蕙 按钮 。 
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STEP 和 图 11-6-8 右 侧 为 刚才 新 建 的 、 利 用 Z: 磁 盘 来 连接 \\Serverl\Database 共 享 文件 夹 的 设 
置 ， 这 个 设置 被 称 为 一 个 项 目 (item ) 。 

局 组 第 路 管 理 信 久 器 

文件 旧 “损人 内， 坦 在 M) 三 

和 啤 | 身 大 | 自 | 中 区 目 | 目 画 


图 11-6-8 
STEP 上 “到 任何 一 台 域 成 员 计算 机 上 利用 组 织 单位 业务 部 内 的 用 户 账户 Paul 登 录 ， 打 开 文 促 导 


资源 管理 器 ， 之 后 您 将 看 到 其 Z: 磁 盘 已 经 自动 连接 到 我 们 指定 的 共享 文件 夹 ， 如 图 
11-6-9 所 示 。 如 果 利 用 其 他 用 户 账户 登录 的 话 ， 就 不 会 有 Z: 磁 盘 。 


和 本 地 碰 盘 (cj DVD 码 动 器 (Dj 
只 内 如 看 SSS_X64FRE ZH-CN_DV9 
WE 44.3 GB 可 用 , 共 595 GB 0 六 节 可 用 , 共 575 6B 
届 | 
2] 
44.3 GB 可 用 , 共 59.5 6B 
9 个 硕 目 #: 因 | 


图 11-6-9 


11.7 审核 资源 的 使 用 


通过 审核 auditing) 功能 可 以 让 系统 管理 员 跟 踪 是 否 有 用 户 访问 计算 机 内 的 资源 、 跟 踪 
计算 机 运行 情况 等 。 审 核 工 作 通常 需要 经 过 以 下 两 个 步骤 ; 


站 启用 审核 策略 : Administrators 组 内 的 成 员 才 有 权利 启用 审核 策略 。 
习 设 定 要 审核 的 资源 : 需要 具备 管理 审核 和 安全 日 志 权 限 的 用 户 才 可 以 审核 资源 ， 默 
认 是 Administrators 组 内 的 成 员 才 有 此 权限 。 
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可 以 利用 本 地 安全 策略 、 域 安全 策略 或 域 控制 器 安全 策略 内 的 用 户 权限 分 配 策略 ( 参见 
本 章 有 关 用 户 权限 分 配 的 说 明 ) 来 赋予 其 他 用 户 管理 审核 和 安全 日 志 权 限 。 


通过 审核 策略 所 记录 的 数据 是 被 记录 在 安全 日 志 中 的 ， 可 以 利用 【 单 击 左下 角 开 始 图 标 
田 2Windows 管理 工具 仿 事 件 查看 器 人 Windows 日 志 纺 安全 】 来 查看 。 


a 国 


审核 策略 的 设置 可 以 通过 本 地 安全 策略 、 域 安全 策略 、 域 控制 器 安全 策略 或 组 织 单位 的 
组 策略 来 设置 ， 其 相关 的 应 用 规则 我 们 已 经 解释 过 了 。 此 处 我 们 利用 本 地 安全 策略 来 举例 说 
明 ， 因 此 建议 到 未 加 入 域 的 计算 机 登录 ， 然 后 使 用 【 单 击 左下 角 开 始 图 标 田 2 Windows 管理 
工具 人 本 地 安全 策略 人 如 图 11-7-1 所 示 展 开 安全 设置 2 本 地 策略 纺 审 核 策略 】 的 方法 完成 。 


本 地 安全 策略 的 设置 只 对 本 地 计算 机 有 效 ， 如 果 要 利用 域 控制 器 或 域 成 员 计 算 机 做 实 
验 ， 则 要 设置 域 控制 器 安全 策略 、 域 安全 策略 或 组 织 单位 的 组 策略 。 


| 
| 
1L741 
由 图 11-7-1 中 可 知 审 核 策略 内 提供 了 以 下 审核 事件 ， 


站 审核 目录 服务 访问 : 审核 是 否 有 用 户 访 问 AD DS 内 的 对 象 ， 必 须 另 外 选择 要 审核 的 
对 象 与 用 户 。 此 设置 只 对 域 控 制 器 有 作用 。 
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审核 系统 事件 : 审核 是 否 有 用 户 重 新 启动 、 关 机 或 系统 发 生 了 任何 会 影响 系统 安全 ， 
或 影响 安全 日 志 正常 工作 的 事件 。 

站 审核 对 象 访问 : 审核 是 否 有 用 户 访问 文 件 、 eq 
审核 的 文件 、 目 录 或 打印 机 。 | 

冯 审 核 策略 更 改 : 审核 身份 验证 策略 、 审 核 策略 或 授权 策略 等 是 否 有 更 改 。 

当 审核 特权 使 用 : 审核 用 户 是 否 使 用 了 用 户 权 限 分 配 策略 内 所 赋予 的 权限 ， 例如 更 改 
系统 时 间 。 


即使 选择 审核 特权 使 用 ， 系 统 默认 也 不 会 审核 备份 文件 和 目录 、 还 原文 件 和 目录 、 绕 过 


遍历 检查 、 调 试 程序 、 创 建 一 个 令 牌 对 象 、 蔡 换 进 程 级 令 牌 、 生 成 安全 审核 等 事件 ， 因 
为 它们 会 产生 大 量 的 日 志 ， 因 而 会 影响 计算 机 性 能 。 


习 审核 账户 登录 事件 : 审核 是 否 发 生 了 利用 本 地 用 户 账户 来 登录 的 事件 。 例 如 ,我 们 
在 本 地 计算 机 启用 此 策略 后 ， 如 果 用 户 在 这 台 计 算 机 上 利用 本 地 用 户 账 户 登 录 的 
话 ， 则 安全 上 日志 内 会 有 记录 ， 然 而 如 果 用 户 是 利用 域 用 户 账 户 登 录 的 话 ， 就 不 会 有 
记录 。 

冯 审 核 账户 管理 : 审核 是 否 有 账户 新 建 、 人 修改、 删除、 启用、 禁用、 更改 账 户 名 称 、 
更 改 密码 等 与 账户 数据 有 关 的 事件 发 生 。 

包 审核 登录 事件 : 审核 是 否 发 生 用 户 登 录 与 注销 的 行为 ， 不 论 用 户 是 直接 在 本 地 登录 
或 通过 网 络 登录 ， 也 不 论 是 利用 本 地 或 域 用 户 账户 来 登录 。 

半 ”审核 进程 跟踪 : 审核 程序 的 执行 与 结束 ， 例 如 是 否 有 某 个 程序 被 启动 或 结束 。 


每 一 个 被 审核 事件 都 可 以 分 为 成 功 与 失败 两 种 ， 也 就 是 可 以 审核 该 事件 是 否 成 功 地 发 
生 。 例 如 ， 既 可 以 审核 用 户 登 录 成 功 的 行为 ， 也 可 以 审核 其 登录 失败 的 行为 


我 们 将 练习 如 何 来 审核 是 否 有 用 户 在 本 地 登录 ， 而 且 同 时 要 审核 登录 成 功 与 失败 的 事 
件 。 首 先 需要 检查 审核 登录 事件 策略 是 否 已 经 被 启用 ， 如 图 11-7-2 所 示 。 若 尚未 被 启用 ， 则 
双击 该 策略 ， 以 便 进 入 该 策略 进行 设置 。 
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先 注销 ， 然 后 改 用 任何 一 个 本 地 用 户 账户 〈 此 处 假设 是 Mary) 登录 ， 并 故意 输入 错误 密 

码 ， 然 后 改 用 Administrator 账 户 登 录 〈 输 入 正确 的 密码 ) 。Mary 登 录 失 败 与 Administrator 登 录 

成 功 的 操作 都 会 被 记录 到 安全 日 志 内 。 我 们 可 以 利用 【 单 击 左下 角 开 始 图 标 田 QWindows 管 

理工 具 仿 事件 查看 器 人 如 图 11-7-3 所 示 展 开 Windows 日 志 仿 安全 】 的 方法 来 查看 Mary 登 录 失 败 

的 事件 。 图 11-7-3 中 的 失败 审核 事件 《图形 为 一 把 锁 ， 任 务 类 别 为 登录 ) 为 Mary 登 录 失 败 的 

上 事件， 请 上 下 卷 动 或 双击 该 事件 ， 就 可 以 看 到 包含 登录 日 期 /时 间 、 失 败 的 原因 、 用 户 名 称 、 

计算 机 名 称 等 。 我 们 还 可 以 看 到 登录 类 型 为 2， 表 示 为 本 机 登录 若 登 录 类 型 为 ?9， 则 表示 网 
络 登 录 〈 通 过 网 络 进行 连接 ) 。 


以 下 将 审核 用 户 Mary 是 否 打开 了 我 们 所 指定 的 文件 《假设 是 本 地 计算 机 内 的 文件 
reportxls) 。 首 先 请 如 图 11-7-4 所 示 启 用 审核 对 象 访 问 策略 。 接 下 来 需要 选择 需要 审核 的 文件 
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与 用 户 ， 其 步骤 如 下 所 示 。 
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STEP 贺 ”打开 文件 资源 管理 器 人 选中 和 欲 审核 的 文件 ( 假设 是 reports.xls ) 右 击 纺 属性 2 安全 3 
高 级 人 如 图 11-7-5 所 示 单 击 审核 选项 卡 下 的 匡 员 撤 钮 。 


11-7-5 


如 果 你 不 具备 管理 审核 和 安全 日 志 权限 ， 且 如 果 用 户 账户 控制 的 通知 时 机 不 是 不 要 通知 


的 话 ， 则 系统 会 要 求 输入 系统 管理 员 账户 与 密码 才 可 以 执行 审核 设置 ， 如 果 通 知 时 机 为 
不 要 通知 的 话 ， 将 无 法 通过 苹 番 按钮 来 做 任何 审核 设置 。 


STEP 回 在 图 11-7-6 中 通过 上 方 选 取 主 体 来 选择 要 审核 的 用 户 Mary ( 图 中 为 完成 后 的 结 
果 ] ， 在 类 型 处 渤 择 审 核 全 部 计件 《成功 与 失败 ) ， 在 下 方 迁 择 要 审核 的 扣 作 后 人 
序 单 击 釉 山 按 钮 来 结束 设置 。 
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接 下 来 我 们 通过 以 下 步骤 来 测试 与 查看 审核 的 结果 。 


STEP 回 ”注销 Administrator， 利 用 上 述 被 审核 的 用 户 账 户 ( Mary ) 登录 。 
STEP 回 ”打开 文件 资源 管理 器 ， 然 后 尝试 打开 上 述 被 审核 的 文件 。 
STEP 加 “注销 ， 重 新 利用 Administrator 账 户 登 录 ， 以 便 查看 审核 日 志 。 


不 具备 管理 审核 和 安全 日 志 权 限 的 用 户 无 法 查看 安全 日 志 的 内 容 。 


STEP 四 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 3 事件 查看 器 QWindows 日 志 人 安全 3 
双击 图 11-7-7 中 所 审核 到 的 事件 记录 ， 之 后 就 可 以 从 图 11-7-8 看 到 刚才 打开 文件 
( report.xls ) 的 操作 已 被 详细 记录 在 此 s 


系统 需要 执行 多 个 相关 步骤 来 完成 用 户 打开 文件 的 操作 ， 而 这 些 步 骤 都 会 被 记录 在 安全 
日 志 中 ， 因 此 会 有 多 条 类 似 的 日 志 记录 ?浏览 这 些 记 录 来 查找 所 需要 的 数据 。 
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审核 用 户 是 否 访问 打印 机 《例如 通过 打印 机 打印 文件 ) 的 设置 步骤 与 审核 文件 相同 ， 例 
如 也 需要 启用 审核 对 象 访 问 策略 ， 然 后 通过 【 单 击 左下 角 开 始 图 标 田 忆 控制 面板 人 硬件 公设 备 
和 打印 机 令 选 中 打印 机 右 击 人 打印 机 属性 Q 安 全 选项 卡 之 高 级 纺 审 核 选项 卡 3 添 加 】 的 方法 来 
设置 ， 此 处 不 再 重复 说 明 其 操作 步骤 。 


可 以 审核 是 否 有 用 户 在 AD DS 数 据 库 内 执行 了 添加 、 删 除 或 修改 等 访问 对 象 的 行为 。 以 
下 练习 要 审核 是 否 有 用 户 在 组 织 单位 业务 部 内 建立 新 用 户 账户 。 1 

先 到 域 控制 器 利用 Administrator 账 户 登录 ， 然 后 通过 【 单 击 左下 角 开 始 图 标 田 Q Windows 
管理 工具 人 组 策略 管理 纺 展 开 到 组 织 单位 Default Domain Controllers 信 选中 Default Domai 
Controllers Policy 右 击 纺 编辑 】 的 方法 来 启用 审核 目录 服务 访问 策略 ， 并 假设 同时 选择 审核 成 
功 与 失败 事件 ， 如 图 11-7-9 所 示 。 
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接 下 来 要 审核 是 否 有 用 户 在 组 织 单位 业务 部 内 新 建 用 户 账 户 : 


单 击 左下 角 开 始 图 标 田 QWindows 管理 工具 QActive Directory 管 理 中 心 人 如 图 11-7-10 
所 示 单 击 组 织 单位 业务 部 纪 单 击 属性 。 


嫩 Active Directory 管理 中 心 


STEP 


STEP 


STEP 


加 Active Directory 管 ，、《 sayms (本 地) (15) 任务 
EE- 到 | 2 PP 图 回避 自 
| 攻 
类 开 所 壕 | 才 建 
一 Managed Service Accou. 。 安 器 Defauit container for m ~ 于 
msDS-Qu_， Quota specifications co 区 动 -. 
容器 Deftaukt location for sto， 在 这 节 吉 下 搜索 
容 才 Buiktin system settings 
mmsTPM-in- 
罕 录 Defautt container for 更 改 域 近 制 器 
可 提升 林 功能 豚 别 _ 
EECRSSCEDRE  ， 理 升 域 功 能 及 到 ~ 
入 | 启用 回收 站 - 
图 11-7-10 


如 图 11-7-11 所 示 单 击 扩展 节点 ， 单 击 安全 选项 卡 下 的 转 鳃 按钮 。 


图 11-7-11 


如 图 11-7-12 所 示 单 击 审核 选项 卡 下 的 园 油 撤 钮 。 
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等 审核 策略 成 功 应 用 到 域 控制 器 后 〈 等 5 分 钟 ， 或 重新 启动 域 控制 器 ， 或 手动 应 用 ， 详 情 
可 参考 本 章 域 安全 策略 的 设置 部 分 的 说 明 ) 再 执行 以 下 步骤 。 


STEP 和 加 通过 【打开 Active Directory 管 理 中 心 3 选 中 组 织 单位 业务 部 右 击 令 新 建 仿 用户 】 的 方 
法 来 建立 一 个 用 户 账户 ， 例 如 jackie。 

STEP 回 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 3 事件 查看 器 人 Windows 日 志 了 安全 
双击 图 11-7-15 中 所 审核 到 的 事件 日 志 ( 事件 了 为 4720、 任 务 类 别 为 用 户 账户 管 
理 ) ， 之 后 就 可 以 看 到 刚才 新 建 的 用 户 账 户 ( jackie ) 的 操作 已 被 详细 记录 在 这 里 
( 如 图 11-7-16 所 示 ) 。 


专 S 
事件 4720, 了 oresoft 则 indows security auditing. 


日 志和 名称 (M): 安全 
Microso## Windows secur 记录 时 间 tD): 2017/712/78 11:58:36 
关键 字 (K: 。 审核 成 功 
计算 机 (R): 。 Serverl.saymslocal 


图 11-7-16 
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系统 管理 员 可 以 通过 远程 桌面 连接 来 管理 远程 计算 机 与 网 络 ， 而 普通 用 户 也 可 以 通过 它 ; 
来 使 用 、 控 制 远程 计算 机 。 

涪 “远程 桌面 连接 ”概述 

涪 “远程 桌面 连接 ”实例 演练 

党 “远程 桌面 连接 ”的 高 级 设置 


一 
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12.1 “远程 桌面 连接 ”概述 


Windows Server 2016 通 过 对 远程 桌面 协议 (Remote Desktop Protocol) 的 支持 与 远程 桌面 
连接 (Remote Desktop Connection ) 的 技术 ， 让 用 户 坐 在 一 台 计 算 机 前 就 可 以 连接 到 位 于 不 同 
地 理 位 置 的 其 他 远程 计算 机 。 举 例 来 说 《参考 图 12-1-1) ， 当 您 要 离开 公司 时 ， 办 公 室 计算 机 
不 要 关机 ， 回 家 后 利用 家 庭 计 算 机 通过 Internet 连 接 办 公 室 计算 机 ， 就 可 以 接管 办 公 室 计算 机 
的 工作 环境 ， 也 就 是 办 公 室 计算 机 的 桌面 会 显示 在 您 的 屏幕 上 ， 然 后 就 可 以 继续 办 公 室 计算 
机 上 的 工作 ， 例 如 执行 办 公 室 计算 机 内 的 应 用 程序 、 使 用 网 络 资源 等 ， 就 好 像 是 坐 在 这 人 台 办 
公 室 计算 机 前 一 样 。 


位 于 远程 的 办 公 室 计算 可 


你 的 家 用 计算 机 


图 12-1-1 


对 系统 管理 员 来 说 ， 他 可 以 利用 远程 桌面 来 连接 远程 计算 机 ， 然 后 通过 此 计算 机 来 管理 
远程 网 络 。 


12.2 “远程 桌面 连接 ”实例 演练 


我 们 将 通过 图 12-2-1 的 环境 来 练习 远程 桌面 连接 ， 先 准备 好 这 两 台 计 算 机 ， 并 配置 好 
TCP/IPv4 的 参数 值 (本 范例 采用 TCP/IPv4) 。 
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Serverl 
IP:192.168.8.4/24 192.168.8.1/24 
(Windows 10) (Windows Server 2016) 


图 122-1 | 


必须 在 远程 计算 机 上 启用 远程 桌面 ， 并 且 赋 予 用 户 允 许 通过 远程 桌面 服务 登录 的 权限 ， | 
用 户 才 可 以 利用 远程 桌面 来 连接 。 


启用 “远程 桌面 ” 


到 远程 计算 机 SefvefL 卡 单 击 左下 角 开始 图 标 田 3 控 制 面 板 2 系 统 和 安全 人 系统 3 单 击 左 
侧 高 级 系统 设置 2 通过 图 12-2-2 中 远程 选项 卡 下 的 远程 桌面 来 设置 】。 


图 12-2-2 


久 ” 不 允许 远程 连接 到 此 计算 机 : 禁止 通过 远程 桌面 连接 ， 这 是 默认 值 。 

浊 允许 远程 连接 到 此 计算 机 : 若 同 时 匀 选 仅 允 许 运 行使 用 网 络 级 别 身份 验证 的 远程 桌 “ 
面 的 计算 机 连接 (建议 ) 的 话 ， 则 用 户 的 远程 桌面 连接 需要 支持 网 络 级 别 验证 
(Network Level Authentication，NLA ) ， 才 可 以 连接 。 网 络 级 别 验 证 比较 安全 ， 它 量 
可 以 避免 黑客 或 恶意 软件 的 攻击 。Windows Vista ( 含 ) 以 后 的 远程 桌面 都 是 使 用 网 
络 级 别 验证 。 请 在 图 中 选择 此 选项 。 
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在 选择 图 12-2-2 中 第 2 个 选项 后 ， 系 统 会 自动 在 Windows 防 火 墙 内 开放 远程 桌面 通过 
Windows 防 火 墙 ( 若 出 现 提 示 信息 的 话 ， 请 直接 单 击 鄙 按 钮 ) . 


可 通过 【 按 导 + 国 键 2 控 制 面板 纺 系 统 和 安全 人 Windows 防 火 墙 人 允许 应 用 或 功能 通过 
Windows 防 火 墙 】 来 查看 远程 桌面 已 被 开放 ， 如 图 12-2-3 所 示 。 


图 12-2-3 
赋予 用 户 通过 “远程 桌面 ”连接 的 权限 


要 让 用 户 可 以 利用 远程 桌面 连接 远程 计算 机 的 话 ， 该 用 户 必 须 在 远程 计算 机 拥有 允许 通 
。 过 远程 桌面 服务 登录 的 权限 ， 对 于 “ 非 域 控制 器 ”的 计算 机 而 言 ， 默 认 已 为 Administrators 与 
。 Remote Desktop Users 组 开放 此 权限 ， 可 以 通过 以 下 方法 来 查看 该 设置 : 【 单 击 左下 角 开始 图 
” 标 田 2Windows 管理 工具 纺 本 地 安全 策略 纺 本 地 策略 纺 用 户 权 限 分 配 纺 如 图 12-2-4 所 示 】。 

一 本 地 安 全 策略 2 


文件 (加 作 (A) 查看 (V) ”帮助 (H) 
各 中 | 丰 剧 |X 国 区 | 目 回 


加 应 用 程序 控制 策 路 
》 妨 ,p 安全 策略 ,在 本 地 计算 机 
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如 果 是 域 控制 器 的 话 ， 则 在 “本 地 安全 策略 ”内 ， 此 权限 默认 仅 开 放 给 Administrators 
组 。 


如 果 要 添加 其 他 用 户 也 可 以 利用 远程 桌面 连接 此 远程 计算 机 的 话 ， 在 此 远程 计算 机 上 通 
过 上 述 界面 赋予 该 用 户 允 许 通 过 远程 桌面 服务 登录 权限 即 可 。 
也 可 以 利用 将 用 户 加 入 远程 计算 机 Remote Desktop Users 组 的 方式 让 用 户 拥 有 此 权限 ， 其 
方法 有 两 种 : 
浊 直接 利用 本 地 用 户 和 组 将 用 户 加 入 Remote Desktop Users 组 。 
忆 单 击 图 12-2-2 右 下 方 咽 清关 章 | 拉锯 ， 通 过 图 12-2-5 的 一 员 坊 钮 未 选择 用 户 ， 该 用 户 账 
户 会 被 加 入 Remote Desktop Users 组 。 


图 12-2-5 


由 于 域 控 制 器 默认 并 没有 赋予 Remote Desktop Users 组 允许 通过 远程 桌面 服务 登录 的 权 
限 ， 因 此 若 将 用 户 加 入 域 Remote Desktop Users 组 的 话 ， 则 还 需要 另外 将 权限 赋予 这 个 组 ， 才 
可 以 远程 连接 域 控 制 器 。 如 果 要 将 此 权限 赋予 Remote Desktop Users〈 与 Administrators 组 ) 的 
话 ， 到 域 控制 器 上 通过 ,，【 单 击 左下 角 开 始 图 标 田 3Windows 管理 工具 人 组 策略 管理 纺 展 开 
到 组 织 单位 Domain Controllers 令 选 中 Default Domain Controllers Policy 右 击 迟 编辑 纺 计 算 机 配 
置 策 略 Windows 设 置 纺 安全 设置 3 本 地 策略 信用 户 权 限 分 配 纺 将 右 侧 允 许 通 过 远程 桌面 服 
务 登 录 权 限 赋予 Remote Desktop Users 与 Administrators 组 】， 这 个 设置 会 应 用 到 所 有 的 域 控制 
器 。 注 意 ， 虽 然 在 本 地 安全 策略 内 已 经 将 此 权限 赋予 Administrators 组 ， 但 是 一 旦 通过 域 组 策 
略 来 设置 后 ， 原 来 在 本 地 安全 策略 内 的 设置 就 无 效 了 ， 因 此 此 处 仍然 需要 将 权限 赋予 
Administrators 组 。 
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Windows 系 统 已 经 包含 了 远程 桌面 客户 端 工具 ， 其 运行 的 方法 为 : 


站 Windows Server 2016、Windows 10: 【 按 于 键 切换 到 开始 菜单 了 单 击 Windows 附 件 之 
下 的 远程 桌面 连接 】〗。 

站 Windows Server 2012 R2、Windows 8.1: 【 按 一 键 切换 到 开始 菜单 了 单 击 左下 角 的 向 
下 箭头 贺 => 单 去 Windows 附 件 之 下 的 远程 桌面 连接 】。 

外 Windows Server 2012、Windows 8: 【 按 疆 键 切 换 到 开始 菜单 仿 右 击 空白 处 纺 所 有 应 
用 驴 单 击 Windows 附 件 下 的 远程 桌面 连接 】〗。 

饵 Windows Server 2008 (R2 ) 、Windows 7、Windows Vista: 【开始 信 所 有 程序 叉 附 件 
人 远程 桌面 连接 】。 


连接 远程 计算 机 
以 本 范例 中 的 本 地 计算 机 Windows 10 来 说 ， 连 接 远 程 计算 机 的 步骤 如 下 : 


STEP 回 。 按 副 键 切换 到 开始 菜单 人 Windows 附 件 人 远程 桌面 连接 。 

P 回 如 图 12-2-6 所 示 输 入 远程 计算 机 Serverl 的 下 地 址 ( 或 DNS 主机 名 、 计 算 机 名 ) 后 
单 击 轴 国 技 钮 。 

STEP 图 “如 图 12-2-7 所 示 输 入 远程 计算 机 内 具备 远程 桌面 连接 权限 的 用 户 账 户 ( 例如 
Administrator ) 与 密码 后 羊 击 甘 员 按 钮 。 


站 
和 


图 1226 


 STEP 四 。 若 出 现 图 12-2-8 的 界面 ， 请 暂时 不 必 理 会 ， 直 接 单 击 本 国 测 坟 钮 。 
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图 12-2-8 


STEP 加 图 12-2-9 为 完成 连接 后 的 界面 ， 此 全 屏幕 界面 所 显示 的 是 远程 Windows Servef 
2016 计 算 机 的 桌面 ， 由 最 上 方 中 间 的 小 区 块 可 知 您 所 连接 的 远程 计算 机 的 IP 地 址 
为 192.168.8.1。 


若 同一 个 用 户 账户 ( 本 范例 是 Administrator ) 已 经 通过 其 他 的 远程 桌面 连 上 这 合 远程 计 
算 机 ( 包含 在 远程 计算 机 上 本 地 登录 ) ， 则 此 用 户 的 工作 环境 会 被 本 次 的 连接 接管 ， 同 
时 他 也 会 被 退出 到 | 按 下 CtrlHAlttDelete 以 解除 锁定 | 的 窗口 。 


二 AS 
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图 12-2.9 
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属 STEP 回 “” 若 单 击 图 12-2-9 最 上 方 中 间 小 区 块 的 缩小 窗口 符号 ， 则 会 看 到 如 图 12-2-10 的 窗口 
界面 ， 背 景 为 本 地 计算 机 的 Windows 10 桌 面 ， 中 间 窗 口 为 远程 计算 机 的 Windows 
Server 2016 桌 面 。 如 果 要 在 全 屏幕 与 窗口 界面 之 间 切 换 的 话 ， 可 以 按 回 加 十 卫 
键 。 如 果 要 针对 远程 计算 机 来 使 用 Alt + Tab 等 组 合 键 或 邢 键 ， 默 认 需 在 全 屏 
幕 模式 下 。 


远程 桌面 所 使 用 的 端口 号 为 3389， 如 果 要 更 改 ， 可 以 通过 注册 表 编 辑 器 REGEDIT.EXE 
程序 。 到 远程 计算 机 上 执行 此 程序 ， 然 后 展开 到 以 下 路 径 ， 


HKEY _ LOCAL MACHINE\SystemNCurrentControlSeNControNTerminal ServeN WinStationsS\RDP-Tcp 


接着 双击 右 侧 的 PortNumber 数 值 、 选 择 十 进 制 、 在 数值 数据 处 输入 新 的 端口 号 码 。 完 成 
后 请 重新 启动 远程 计算 机 。 另 外 ， 还 要 在 远程 计算 机 的 Windows 防 火 墙 上 开放 这 个 新 的 
端口 。 客 户 端 计算 机 在 连接 远程 计算 机 时 ， 必 须 提供 新 的 端口 号 ( 假设 为 3340 ) ， 倒 如 
192.168.8.1:3340。 


图 12-2-10 


如 果 远 程 计 算 机 位 于 NAT ( Network Address Translation ， 例 如 卫 共 享 器 、 宽 带路 由 器 ) 
设备 之 后 ， 则 需要 在 NAT 上 设置 将 连接 重 定向 到 远程 计算 机 ， 也 就 是 需要 通过 端口 转发 
或 虚拟 服务 器 设置 来 达到 目的 。 如 果 NAT 之 后 有 多 合 远程 计算 机 要 被 连接 ， 则 可 以 通过 
更 改 这 些 计 算 机 的 远程 桌面 端口 的 方式 来 区 别 这 些 计 算 机 。 


注销 或 断 开 连接 
如 果 要 结束 与 远程 计算 机 的 连接 ， 可 以 采用 以 下 两 种 方法 : 
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注销 : 注销 后 ， 在 远程 计算 机 上 所 执行 的 程序 会 被 结束 。 注 销 方法 为 按 @@ 虽 
冯 虽 键 〈 不 是 加 四 键 !) ， 然 后 单 击 注销 


+ 负 + 


久 断 开 : 断 开 连接 并 不 会 结束 正在 远程 计算 机 内 执行 的 程序 ， 它 们 仍然 会 在 远程 计算 | 
机 内 继续 运行 ， 而 且 桌 面 环境 也 会 被 保留 ， 下 一 次 即使 是 从 另外 一 台 计 算 机 重新 连 
接 远 程 计 算 机 ， 还 是 能 够 继续 拥有 之 前 的 环境 。 只 要 单 击 远程 桌面 窗口 上 方 的 X 符 | 
号 ， 就 可 以 断 开 与 远程 计算 机 之 间 的 连接 。 


一 台 Windows Server 2016 计 算 机 最 多 允许 两 个 用 户 连接 包括 在 本 地 登录 用 户 ) ， 而 
Windows 10 等 客户 端 计算 机 则 仅 支 持 一 个 用 户 连接 。 

一 个 用 户 账 户 仅 能 够 有 一 个 连接 〈 包 括 在 本 地 登录 用 户 ) ， 如 果 此 用 户 〈《 本 范例 是 
Administrator) 已 经 通过 其 他 远程 桌面 连接 连 上 远程 计算 机 《包含 在 远程 计算 机 上 本 地 登 ， 
录 ) ， 则 这 个 用 户 的 工作 环境 会 被 本 次 的 连接 接管 ， 同 时 也 会 被 退出 到 “ 按 下 CtrlHAltt 
Delete 解 除 锁定 ”的 界面 。 


1，Windows Server 2016 若 要 支持 更 多 连接 数 ， 则 需要 安装 远程 蘑 面 服务 角 色 与 取得 合法 
授权 数量 。 


2，Windows 10、Windows 8.1 ( 8 ) 、Windows 7 的 低级 别 版 本 仅 支持 出 站 连接 ， 不 支持 
入 站 连接 。 

在 连接 远程 计算 机 时 ， 如 果 该 计算 机 的 入 站 连接 数量 已 经 被 其 他 两 个 用 户 账 户 占 用 ， 则 
系统 会 如 图 12-2-11 所 示 显 示 已 经 连接 的 用 户 名 称 ， 必 须 从 中 选择 一 个 账户 将 其 断 开 后 才 可 以 
连接 ， 不 过 需 经 过 该 用 户 的 同意 才能 将 其 断 开 ， 也 就 是 该 用 户 的 屏幕 上 会 显示 如 图 12-2-12 的 
界面 ， 在 该 用 户 单 击 蔷 响 按 钮 后 就 可 以 连接 了 。 


Windows 登录 


选择 要 中 断 连接 的 用 户 ， 以 便 你 可 以 登录 。 
已 登录 的 用 户 太 多 


人 > SAYMSNadministrator 
活动 
一 SAYMSNAmary 


图 12-2-11 
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远程 桌面 连接 


是 否 要 允许 SAYMS\george 


图 12-2-12 
12.3 “远程 桌面 连接 ”的 高 级 设置 


远程 桌面 连接 的 用 户 在 单 击 图 12-3-1 中 的 侠 示 帝 咒 | 控 钮 后 ， 就 可 以 通过 图 12-3-2 来 进 一 
步 设置 远程 桌面 连接 〈 以 下 利用 Windows 10 的 界面 来 说 明 ) 


[二 Ar 阿 - Pi X ] 


军 规 。 显示 “本 地 资源 体验 ”高 航 
登录 设置 
国 ok 


| 
计算 机 (Ch | 192.168.8.1 v | 


5 区 用 户 名 : SAYMS\george 
有 二 | 当 你 连接 和 时 梅 向 你 询问 赁 杠 。 
| 有 远程 桌面 

| ex2 连接 


交代 下 作 攻 (RN 


计算 机 (C): [eziesa v 


| 用户 名 : SAYMSVvadministrator 


全 ES) 号 存 为 mW 和 ii- 
当 你 连接 时 柠 向 你 询问 赁 效 。 3 风 
二 
E9 [ET oemmo [CT 
图 12-3-1 图 12-3-2 
常规 


在 图 12-3-2 的 界面 中 ， 可 以 事先 设置 好 要 连接 的 远程 计算 机 、 用 户 名 等 数据 ， 也 可 以 将 
这 些 连 接 保存 成 .RDP 文 件 ， 以 后 只 要 单 击 RDP 文 件 ， 就 可 以 自动 利用 此 账户 来 连接 远程 计算 
机 。 
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显示 


打开 图 12-3-3 中 的 显示 选项 卡 后 ， 就 可 以 调整 远程 桌面 窗口 的 显示 分 辨 率 、 颜 色 质 量 ， 
等 。 图 中 最 下 方 的 全 屏 显示 时 显示 连接 栏 中 的 “连接 栏 ”就 是 在 远程 桌面 窗口 最 上 方 中 间 的 ， 
小 区 块 〈 参 见 图 12-2-9) 。 


本 地 资源 
打开 图 12-3-4 中 的 本 地 资源 选项 卡 后 ， 可 以 设置 以 下 选项 。 


12-3-3 


六 远程 音频 : 设置 是 否 要 将 远程 计算 机 所 播放 的 声音 送 到 本 地 计算 机 播放 ， 或 是 留 在 
远程 计算 机 播放 ， 还 是 都 不 要 播放 。 同 时 ， 也 可 以 设置 是 否 要 录制 远程 音效 。 
旬 键 盘 : 当 用 户 按 Windows 组 合 键 时 ， 例 如 国 衣 + 宝 轩 键 ， 是 要 用 来 操控 本 地 计算 机 还 。 
是 远程 计算 机 ， 或 者 只 有 在 全 屏幕 显示 时 才 用 来 控制 远程 计算 机 。 
浊 本 地 设备 和 资源 : 可 以 将 本 地 设备 显示 在 远程 桌面 的 窗口 内 ， 以 便 在 此 窗口 内 访问 
本 机 设备 与 资源 ， 例 如 将 远程 计算 机 内 的 文件 通过 本 地 打印 机 打印 。 
单 击 图 12-3-4 中 的 吐 红 入 国 按 钮 ， 还 可 以 通过 图 12-3-5 来 访问 本 地 计算 机 的 磁盘 驱动 
器 、 即 插 即 用 设备 〈 例 如 U 盘 ) 等 。 
例如 ， 在 图 12-3-6 中 的 本 地 计算 机 为 WIN10PC， 其 磁盘 C、D 都 出 现在 远程 桌面 的 窗口 
内 ， 因 此 可 以 在 此 窗口 内 同时 访问 远程 计算 机 与 本 机 计算 机 内 的 文件 资源 ， 例 如 相互 复制 文 
件 。 


国 :x 
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图 12-3-5 图 12.36 
体验 


打开 图 12-3-7 中 的 体验 选项 卡 后 ， 便 可 以 根据 本 地 计算 机 与 远程 计算 机 之 间 连 接 的 速度 
来 调整 其 显示 效率 ， 例 如 连接 速度 较 慢 ， 可 以 设 定 不 显示 桌面 背景 图 形 、 不 要 执行 字体 平滑 
其 理工 作 等 花费 时 间 的 工作 ， 以 便 提高 显示 效率 。 


高 级 


系统 可 以 帮助 用 户 验 证 是 否 连 接 到 正确 的 远程 计算 机 《服务 器 ) ， 以 增加 联机 的 安全 
性 。 在 单 击 图 12-3-8 中 的 高 级 选项 卡 后 ， 便 可 以 通过 其 中 的 如 果 服 务 器 身份 验证 失败 来 选择 
服务 器 身份 验证 失败 的 处 理 方式 : 


335 国 
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站 连接 并 且 不 显示 警告 : 如 果 远 程 计算 机 是 Windows Server 2003 SP1 或 更 旧版 本 ， 

以 选择 此 选项 ， 因 为 这 些 系统 并 不 支持 验证 功能 。 
包 显示 警告 : 此 时 会 显示 警告 界面 ， 由 用 户 自行 决定 是 否 要 继续 连接 。 
外 不 连接 。 


第 13 章 ， 磁 盘 系 统 的 管理 


磁盘 内 存储 着 计算 机 内 的 所 有 数据 ， 因 此 必须 对 磁盘 有 充分 的 了 解 ， 并 妥善 地 管理 磁 
攻 盘 ， 以 便 有 效 利用 磁盘 来 存储 您 宝贵 的 数据 ， 并 确保 数据 的 完整 与 安全 。 


磁盘 概述 
基本 卷 的 管理 
动态 磁盘 的 管理 
移动 磁盘 

存储 空间 


区 区 区 -长 长 


在 郊 学 过 
了 


SS 
SSSSSs 
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13.1 ”磁盘 概述 


在 数据 能 够 被 存储 到 磁盘 之 前 ， 该 磁盘 必须 被 分 割 成 一 或 数 个 磁盘 分 区 〈partition) ， 如 
图 13-1-1 中 一 个 磁盘 〈 一 块 硬盘 ) 被 分 割 为 3 个 磁盘 分 区 。 


图 13-1-1 


在 磁盘 内 有 一 个 被 称 为 磁盘 分 区 表 〈partition table) 的 区 域 ， 用 来 存储 磁盘 分 区 的 相关 
数据 ， 例 如 每 一 个 磁盘 分 区 的 起 始 地 址 、 结 束 地 址 、 是 否 为 活动 (active) 的 磁盘 分 区 等 信 
上 县 。 


磁盘 按 分 区 表 的 格式 可 以 分 为 MBR 磁 盘 与 GPT 磁 盘 两 种 磁盘 格式 〈style) : 


外 MBR 磁 盘 : 使 用 的 是 旧 的 传统 磁盘 分 区 表格 式 ， 其 磁盘 分 区 表 存 储 在 MBR 内 
(master boot record， 见 图 13-1-2 左 半 部 ) 。MBR 位 于 磁盘 最 前 端 ， 计 算 机 启动 时 ， 
使 用 传统 BIOS (基本 输入 输出 系统 ， 是 固化 在 计算 机 主板 上 一 个 ROM 臣 片上 的 程 
序 ) 的 计算 机 ， 其 BIOS 会 先 读 取 MBR， 并 将 控制 权 交 给 MBR 内 的 程序 代码 ， 然 后 
由 此 程序 代码 来 继续 后 续 的 启动 工作 。MBR 磁 盘 所 支持 的 硬盘 最 大 容量 为 2.2 TB 
(1TB=1024GB ) 。 

忆 GPT 磁 盘 : 一 种 新 的 磁盘 分 区 表格 式 ， 其 磁盘 分 区 表 存 储 在 GPT ( GUID partition 
table， 见 图 13-1-2 右 半 部 ) 内 ， 位 于 磁盘 的 前 端 ， 而 且 它 有 主 分 区 表 与 备份 分 区 表 ， 昌 
可 提供 容错 功能 。 使 用 新 式 UEFI BIOS 的 计算 机 ， 其 BIOS 会 先 读 取 GPT， 并 将 控制 
权 交 给 GPT 内 的 程序 代码 ， 然 后 由 此 程序 代码 来 继续 后 续 的 启动 工作 。GPT 磁 盘 所 
支持 的 硬盘 可 以 超过 2.2 TB。， 


可 以 利用 图 形 接口 的 磁盘 管理 工具 或 Diskpart 命 令 将 空 的 MBR 磁 盘 转 换 成 GPT 磁 盘 或 将 
转 :as | 
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空 的 GPT 磁 盘 转换 成 MBR 磁 盘 。 


Protecttve MBR  GP 


Se 


系统 磁盘 分 区 = 
(系统 保留 分 区 ) 启动 文件 


系统 微 盘 分 区 
例如 bootmgr (EFI 系 统 磁 盘 分 区 ) 启动 文件 


(windows 系 统 安装 在 此 处 ) 
启动 磁盘 分 区 CNWindowsN… Reserved (MSRI) 


(Windows 磁 盘 分 区 (Windows 系 统 安装 在 此 处 ) 
| CNWindows\… 


启动 磁盘 分 区 
(Windows 磁 盘 分 区 ) 


| 图 13-1-2 


为 了 兼容 起 见 ，GPT 磁 盘 内 提供 了 Protective MBR， 让 仅 支 持 MBR 的 程序 仍然 可 以 正常 


运行 。 


Windows 系 统 又 将 磁盘 分 为 基本 磁盘 与 动态 磁盘 两 种 类 型 : 


浊 基本 磁盘 : 旧式 的 传统 磁盘 系统 ， 新 安装 的 硬盘 默认 是 基本 磁盘 。 
| 让 动态 磁盘 : 它 支持 多 种 特殊 的 磁盘 分 区 ， 其 中 有 的 可 以 提高 系统 访问 效率 、 有 的 可 
以 提供 容错 功能 、 有 的 可 以 扩大 磁盘 的 使 用 空间 。 


下 面 先 针 对 基本 磁盘 来 说 明 ， 至 于 动态 磁盘 部 分 则 留待 后 面 的 章节 再 介绍 。 


主要 与 扩展 磁盘 分 区 


在 数据 能 够 被 存储 到 基本 磁盘 之 前 ， 该 磁盘 必须 被 分 割 成 一 或 多 个 磁盘 分 区 ， 而 磁盘 分 
区 分 为 两 种 : 


沁 主 分 区 : 可 以 用 来 启动 操作 系统 。 计 算 机 启动 时 ，MBR 或 GPT 内 的 程序 代码 会 到 活 
动 (active ) 的 主 分 区 内 读 取 与 执行 启动 程序 代码 ， 然 后 将 控制 权 交 给 此 局 动 程序 代 
码 来 启动 相关 的 操作 系统 。 
站 扩展 磁盘 分 区 : 只 能 用 来 存储 文件 ， 无 法 用 来 启动 操作 系统 ， 也 就 是 说 MBR 或 GPT 
内 的 程序 代码 不 会 到 扩展 磁盘 分 区 内 读 取 与 执行 启动 程序 代码 。 
一 个 MBR 磁 盘 内 最 多 可 建立 4 个 主 分 区 ， 或 最 多 3 个 主 分 区 加 上 1 个 扩展 磁盘 分 区 〈 见 图 
13-1-3 左 半 部 ) 。 每 一 个 主 分 区 都 可 以 被 赋予 一 个 驱动 器 号 ， 例 如 C:、D: 等 。 扩 展 磁 盘 分 区 
内 可 以 建立 多 个 逻辑 驱动 器 。 基 本 和 磁盘 内 的 每 一 个 主 分 区 或 罗 辑 驱动 器 又 被 称 为 基本 卷 
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(basic volume) 。 


图 13-1-3 


CC_veRata 六 
主 磁 盘 

要 2 
” 主 磁 盘 
主 磁盘 
en 

1 
最 多 4 个 主 磁盘 分 区 “最 多 3 个 主 磁盘 分 区 | 
1 个 扩展 磁盘 分 区 
1 


AQ 和 (volume) 与 磁盘 分 区 〈partition) 有 何不 同 ? 


卷 是 由 一 个 或 多 个 磁盘 分 区 所 组 成 的 ， 我 们 在 后 面 介绍 动态 磁盘 时 会 介绍 包含 多 个 
磁盘 分 区 的 卷 。 


] 
Windows 系 统 的 一 个 GPT 磁 盘 内 最 多 可 以 建立 128 个 主 分 区 〈 见 图 13-1-3 右 半 部 ) ， 而 每 
一 个 主 分 区 都 可 以 被 赋予 一 个 驱动 器 号 〈 最 多 只 有 A~Z 共 26 个 驱动 器 号 可 用 ) 。 由 于 可 有 多 
达 128 个 主 分 区 ， 因 此 GPT 磁 盘 不 需要 扩展 磁盘 分 区 。 大 于 2.2 TB 的 磁盘 分 区 需 使 用 GPT 磁 
盘 。 较 旧版 的 Windows 系 统 〈 例 如 Windows 2000、32 位 Windows XP 等 ) 无 法 识别 GPT 磁 盘 。 


活动 卷 与 系统 卷 
Windows 系 统 又 将 磁盘 区 分 为 启动 分 区 (boot volume) 与 系统 分 区 〈system volume) 两 种 ; 


涪 启动 分 区 : 它 是 用 来 存储 Windows 操 作 系 统 文件 的 磁盘 分 区 。 操 作 系统 文件 通常 是 
存放 在 Windows 文 件 夹 内 ， 此 文件 夹 所 在 的 磁盘 分 区 就 是 启动 分 区 ， 以 图 13-1-4 的 
MBR 磁 盘 来 说 ， 其 左 半 部 与 右 半 部 的 C: 磁 盘 驱 动 器 都 是 存储 系统 文件 (Windows 文 
件 夹 ) 的 磁盘 分 区 ， 所 以 它们 都 是 启动 分 区 。 启 动 分 区 可 以 是 主 分 区 或 扩展 磁盘 分 
区 内 的 逻辑 驱动 器 。 

当 系统 分 区 : 如 果 将 系统 启动 的 程序 分 为 两 个 阶段 来 看 的 话 ， 系 统 分 区 就 是 用 于 存储 
第 1 阶段 所 需要 的 启动 文件 (例如 Windows 启 动 管 理 器 bootmgr ) 。 系 统 利用 其 中 存 
储 的 启动 信息 ， 就 可 以 到 启动 分 区 的 Windows 文 件 夹 内 读 取 启 动 Windows 系 统 所 需 的 
其 他 文件 ， 然 后 进入 第 2 阶段 的 启动 程序 如 果 计 算 机 内 安装 了 多 套 Windows 操 作 系 
统 的 话 ， 系 统 分 区 内 的 程序 也 会 负责 显示 操作 系统 列表 来 供用 户 选择 。 


国 3:o 
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例如 图 13-1-4 左 半 部 的 系统 保留 分 区 与 右 半 部 的 C: 都 是 系统 分 区 ， 其 中 右 半 部 因为 只 
有 一 个 磁盘 分 区 ， 启 动 文 件 与 Windows 文 件 夹 都 存储 在 此 处 ， 故 它 既 是 系统 分 区 也 


是 启动 分 区 。 


文件 
系统 分 区 (例如 bootmgn) 
(系统 保留 分 区 ) 启动 文件 与 Windows 系 统 
均 在 此 处 


CNbootmgr 
Windows 系 统 安装 在 此 处 ) CE 
CNWindows\… we 


图 13-1-4 


在 安装 Windows Server 2016 时 ， 安 装 程序 就 会 自动 建立 扮演 系统 分 区 角色 的 系统 保留 分 
区 ， 且 无 驱动 器 号 ( 参考 图 13-1-4 左 上 半 部 ) ， 包 含 Windows 修 复 环 境 ( Windows 
Recovery Environment，Windows RE ) 。 可 以 自行 删除 此 默认 分 区 ， 如 图 13-1-4 右 半 部 


所 示 只 有 1 个 磁盘 分 区 。 

使 用 UEFI BIOS 的 计算 机 可 以 选择 UEFI 模 式 或 传统 模式 〈 以 下 将 其 称 为 BIOS 模 式 ) 方 
” 式 来 启动 Windows Server 2016。 若 是 UEFI 模 式 的 话 则 启动 磁盘 需 为 GPT 磁 盘 ， 且 此 磁盘 最 
” 少 需要 3 个 GPT 磁 盘 分 区 (参见 图 13-1-5) : 


G 站 
SS GPT 磁 盘 ] 


环线 分区 启动 文件 


(EFI 系 统 磁盘 分 区 
Microsoft System 
Reserved (MSR. 


(Windows 系 统 安装 在 此 处 ) 
启动 分 区 CANWindows\… 
(Windows 磁 盘 分 区 ) 


图 13-1-5 
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冯 EFI 系 统 分 区 (ESP) : 其 文件 系统 为 FAT32， 可 用 来 存储 BIOS/OEM 厂 商 所 需要 的 
文件 、 启 动 操作 系统 所 需要 的 文件 等 (UEFI 的 前 版 被 称 为 EFI) 、Windows 修 复 环 
境 (WindowsRE) 。 

习 Microsoft System Reserved 磁 盘 分 区 (MSR ) : 保留 供 操作 系统 使 用 的 区 域 。 若 磁 
盘 的 容量 少 于 16GB， 此 区 域 占 用 约 32MB; 若 磁 盘 的 容量 大 于 或 等 于 16GB， 则 此 区 
域 占 用 约 128MB。 

匀 Windows 磁 盘 分 区 : 其 文件 系统 为 NTFS， 用 来 存储 Windows 操 作 系 统 文 件 的 磁盘 分 
区 。 操 作 系 统 文件 通常 放 在 Windows 文 件 夹 内 。 


在 UEEFI 模 式 之 下 ， 如 果 是 将 Windows Server 2016 安 装 到 一 个 空 硬 盘 ， 则 除了 以 上 3 个 磁 
盘 分 区 之 外 ， 安 装 程序 还 会 自动 多 建立 一 个 恢复 分 区 ， 如 图 13-1-6 所 示 ， 它 将 Windows RE 与 
EFI 系 统 分 区 分 成 两 个 磁盘 分 区 ， 存 储 Windows RE 的 恢复 分 区 的 容量 约 300MB， 此 时 的 EFI 
系统 分 区 容量 约 100MB。 


Protective MBR  GF 


Herrah 


恢复 分 区 Windows RE 
分 (包含 修复 工具 


系统 分 区 
(EFI 系 统 磁盘 分 区 ) 启动 文件 


Microsoft System 
Reserved (MSR. 


Windows 系 统 安装 在 此 处 
启动 分 区 -NAVWWi 册 
(Windows 磁 盘 分 区 ) 0 
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若是 数据 磁盘 的 话 ， 则 至 少 需要 一 个 MSR 与 一 个 用 来 存储 数据 的 磁盘 分 区 。UEFI 模 式 
的 系统 虽然 也 可 以 使 用 MBR 磁 盘 ， 但 MBR 磁 盘 只 能 够 当 作 数据 磁盘 ， 无 法 作为 启动 磁盘 。 ， 


1. 在 安装 Windows Server 2016 前 ， 你 可 能 需要 先进 入 BIOS 内 指定 以 UEFI 模 式 工作 ， 例 
如 将 通过 DVD 来 启动 计算 机 的 方式 改 为 UEFI， 和 否则 可 能 会 以 传统 BIOS 模 式 工作 ， 而 


不 是 UEFIT 模 式 。 


2. 在 UEFI 模 式 下 安装 Windows Server 2016 完 成 后 ， 系 统 会 自动 修改 BIOS 设 置 ， 并 将 其 
改 为 优先 通过 「Windows Boot Manager」 来 启动 计算 机 。 


如 果 硬盘 内 已 经 有 操作 系统 ， 是 此 硬盘 是 MBR 磁 盘 的 话 ， 则 必须 先 删 除 其 中 的 所 有 磁 松 
分 区 ， 然 后 再 将 其 转换 为 GPT 磁 盘 ， 其 方法 为 ， 在 安装 过 程 中 通过 单 击 修复 计算 机 进入 命令 
提示 符 ， 然 后 执行 diskpart 程 序 ， 接 着 依 序 执行 select disk 0、clean、convert gpt 命 令 。 


园 :4: 
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Rn 


在 文件 资源 管理 器 内 看 不 到 系统 保留 分 区 、 人 恢复 分 区 、EFI 系 统 分 区 与 MSR 等 磁盘 分 
区 。 在 Windows 系 统 内 置 的 磁盘 管理 工具 “磁盘 管理 ”内 看 不 到 MBR、GPT、Protective MBR 
| 等 特殊 信息 ， 虽 然 可 以 看 到 系统 保留 分 区 《〈MBR 磁 盘 ) 、 恢 复 分 区 与 BEFI 系 统 分 区 等 磁盘 分 
区 ， 但 还 是 看 不 到 MSR， 例 如 图 13-1-7 中 的 磁盘 为 GPT 磁 盘 ， 从 中 可 以 看 到 恢复 分 区 与 EFI 系 


| 统 分 区 〈 当 然 还 有 Windows 磁 盘 分 区 ) ， 但 看 不 到 MSR。 


田 计算 机 生理 
和 吵 | 外 曾 | 目 前 | 闫 日 加 
-家 喇 一 一 一 


一 单 ”基本 装 志 良好 ( 纹 复 分 区 ) 450 MB ”450MB 100% 
一 简单 ”基本 状 志 真 好 (ERI 系统 分 区 ) 99 MB 99 MB 100% 
几 二 《tc 简单 基本 NTFS 。 状 坊 良好 (启动 页面 文件 , 故障 转 信 , 主 分 区 ) 127.45 G8 115.65 6B 91% 
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我 们 可 以 通过 diskpart.exe 程 序 来 查看 MSR: 打开 命令 提示 符 或 Windows PowerShell， 如 
图 13-1-8 所 示 执 行 diskpart 程 序 ， 依 序 执行 select disk 0、list partition 命 令 ， 可 以 看 到 4 个 磁盘 
分 区 。 
巩 管理 员 : 命令 提示 符 - diskpart 


VEnaows\eysten3xEskpart 7 


Wi crosoft DiskPart 版 本 10.0. 14393.0 


ight (C) 1999-2013 Jicrosoft Corporation。 
在 让 工 : MIN-6LRIHNRKAV7 


rapumCEE 


陪 盘 0: 现在 是 所 选 科 盘 。 


DISKEPART 关 1ist partiticon 
2 开 | 


小 区 可 


450 JB 1024 KB 
99 了 可 相 1 开 
16 了 550 JB 

127 6B 566 了 


图 13-1-8 
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建议 利用 Windows Server 2016 Hyper-V ( 见 第 $ 章 ) 的 虚拟 机 与 虚拟 硬盘 来 练习 本 章 的 内 
容 。 


13.2 基本 磁盘 的 管理 


可 以 通过 【 单 击 左下 角 开 始 图 标 困 3Windows 管理 工具 仿 计 算 机 管理 纺 存储 人 磁盘 管理 】 
的 方法 来 管理 基本 磁盘 ， 如 图 13-2-1 所 示 ， 图 中 磁盘 0 为 基本 磁盘 、MBR 磁 盘 ， 此 磁盘 在 安 
装 Windows Server 2016 时 就 被 划分 为 两 个 主 分 区 《〈 假 设 是 MBR 磁 盘 ) ， 其 中 第 一 个 为 系统 保 ， 
留 分 区 〈 包 含 Windows 修 复 环境 ，Windows RE) ， 它 是 系统 分 区 、 活 动 的 磁盘 分 区 ， 没 有 
驱动 器 号 ， 另 一 个 分 区 的 驱动 器 号 为 C5 它 是 安装 Windows Server 2016 的 启动 分 区 。 


拖 计算 机 管理 


文中 报 作 (查看 (V) 帮 芭 (H) 
和 中 | 十 面目 羡 产 X 日 昌 员 昕 


500MB 104MB 21% 


可 以 将 NTFS 磁 盘 分 区 压缩 〈shrink) ， 以 图 13-2-1 中 磁盘 0 来 说 ， 其 中 第 2 个 磁盘 分 区 的 


驱动 器 号 为 C:， 虽 然 C: 的 容量 约 为 59.51， 可 是 实际 使 用 量 大 约 只 有 10GB， 如 果 想 从 尚未 使 
用 的 剩余 空间 中 腾 出 约 20GB， 并 将 其 变 成 另外 一 个 未 划分 的 可 用 空间 ， 此 时 可 以 利用 系统 所 上 
提供 的 压缩 功能 来 实现 这 个 目的 ， 也 就 是 缩小 原 磁盘 分 区 的 容量 ， 以 便 将 腾 出 的 空间 划分 为 
另外 一 个 磁盘 分 区 : 【如 图 13-2-2 所 示 选 中 C: 磁 盘 右 击 3 压 缩 卷 2 输入 欲 腾 出 空间 的 大 小 
(20480MB， 也 就 是 20GB) 2 单 击 国 鳃 按钮 】。 图 13-2-3 为 完成 后 的 界面 ， 图 中 右边 多 山 -和 
个 约 20GB 的 可 用 空间 ， 而 原来 拥有 59.51 容 量 的 C: 磁 盘 只 剩 下 39.51GB。 


了 
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要 计划 内 E 理 
广 林 用“ 到 (SAI_ 五 有 和 
人 中 | 由 团 目 间 天 X 日 电台 巴 


在 计算 机 内 所 安装 的 新 磁盘 〈 硬 盘 ) 必须 经 过 初始 化 后 才能 使 用 ; 习 单 击 左下 角 开 始 图 
标 田 QWindows 管理 工具 人 计算机 管理 人 存储 仿 磁 盘 管 理 人 在 自动 弹出 的 图 13-2-4 中 勾 选 欲 初 
始 化 的 新 磁盘 〈 如 果 没 有 自动 弹出 此 界面 的 话 ， 请 如 图 13-2-5 选 中 新 磁盘 右 击 3 联 机 驴 再 选中 
此 新 磁盘 右 击 3 初 始 化 磁盘 ) 2 选择 MBR 或 GPT 分 区 形式 23 单 击 鄙 普 护 钮 】， 接 着 就 可 以 在 
新 磁盘 内 建立 磁盘 分 区 。 

初始 化 磁盘 
二 ASOO ES Si ， 
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附注 翁 


如 果 界 面 中 看 不 到 新 磁盘 的 话 ， 请 先 【选取 操作 菜单 2 重新 扫描 磁盘 】 。 | 


索 计算 从 区 至 ~ 而 本 芝 
文 *HP 拔 fSIA) 查看 (V) 大 区 0 


对 MBR 磁 盘 来 说 ， 一 个 基本 磁盘 内 最 多 可 有 4 个 主 分 区 ， 而 对 GTP 磁 盘 来 说 ， 一 个 基本 
磁盘 内 最 多 可 有 128 个 主 分 区 。 


STEP 和 加 ”如 图 13-2-6 所 示 【 选中 未 分 配 空间 右 击 人 新 建 简单 卷 】 ( 所 新 建 的 简单 卷 会 自动 被 
设置 为 主 分 区 ， 但 如 果 是 新 建 第 4 个 简单 卷 的 话 ， 它 将 自动 被 设置 为 扩展 分 区 ) 。 
考 计算 机 各 至 


文件 旧 。 担 f#IA) 查看 攻 盈 0) 
和 哆 | 雪 国 | 目 癌 | L As 


STEP 四 。 出 现 欢迎 使 用 新 建 简单 卷 向 导 界 面 时 单 击 请 站 以 钮 。 
STEP 回 。 在 图 13-2-7 中 设置 此 主 分 区 的 大 小 ( 假设 是 6GB ) 后 单 击 请 旨 拉 钮 。 


国 :4 
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图 13-2-7 


STEP 四 。 完成 图 13-2-8 中 的 选择 后 单 击 请 汪 测 按钮 ( 图 中 选择 第 1 个 选项 ) 。 


图 13-2-8 


站 分配 以 下 驱动 器 号 : 指定 一 个 驱动 器 号 来 代表 此 磁盘 分 区 ， 例 如 E:。 

习 装 入 以 下 空白 NTFS 文 件 夹 中 : 将 此 磁盘 分 区 挂 载 (mount ) 到 一 个 空 的 NTFS 文 件 夹 
上 ， 也 就 是 指定 一 个 空 的 NTFS 文 件 夹 (其 中 不 能 有 任何 文件 ) 来 代表 此 磁盘 分 区 ， 
例如 若 此 文件 夹 为 CVTools， 则 以 后 所 有 存储 到 C:\Tools 的 文件 都 会 被 存储 到 此 磁盘 


分 区 内 。 
站 不 分 配 驱动 器 号 或 驱动 器 路 径 : 不 指定 任何 的 驱动 器 号 或 磁盘 路 径 (可 以 事后 指 
二 


STEP 回 ”在 图 13-2-9 中 默认 是 要 将 此 磁盘 分 区 格式 化 : 

站 文件 系统 : 可 选择 将 其 格式 化 为 NTFES、ReFS、exFAT、FAT32 或 FAT 的 文件 系统 (分 
区 必须 等 于 或 小 于 4 GB， 才 可 以 选择 FAT ) 。 

外 分 配 单元 大 小 : 分 配 单元 (allocation unit ) 是 磁盘 的 最 小 存储 单位 ， 其 大 小 必须 适 
当 ， 例 如 若 设置 为 8 KB， 则 当 要 存储 一 个 5 KB 的 文件 时 ， 系 统 会 一 次 就 分 配 8 KB 的 
磁盘 空间 ， 然 而 此 文件 只 会 用 到 5 KB， 多 余 的 3 KB 将 被 闲置 不 用 ， 因 此 会 浪费 磁盘 
空间 。 如 果 将 分 配 单元 缩小 到 1KB， 则 因为 系统 一 次 只 分 配 1 KB， 因 此 必须 连续 分 
配 $ 次 才 够 用 ， 这 将 影响 到 系统 效率 。 除 非 有 特殊 需求 ， 否 则 建议 使 用 默认 值 ， 让 系 
统 根据 分 区 大 小 来 自动 选择 最 适当 的 分 配 单元 大 小 。 
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站 卷 标 : 为 此 磁盘 分 区 设置 一 个 易于 识别 的 名 称 。 

习 执行 快速 格式 化 : 它 只 会 重新 建立 NTFS、Refs、exFEAT、FAT32 或 FAT 磁 盘 分 区 表 ， 
但 不 会 花费 时 间 去 检查 是 否 有 坏 的 遍 区 (bad sector ) ， 也 不 会 将 遍 区 内 的 数据 删 
除 。 

外 启用 文件 和 文件 天 压缩 : 它 会 将 此 分 区 设 为 压缩 卷 ， 以 后 新 添加 到 此 分 区 的 文件 与 
文件 夹 都 会 自动 被 压缩 。 


图 13-2.9 


STEP 回 出现 正在 完成 新 建 简单 卷 向 导 界 面 时 单 击 


STEP 贺 ”之 后 系统 会 开始 将 此 磁盘 分 区 格式 化 ， 图 13-2-10 为 完成 后 的 界面 ， 其 容量 大 小 为 
60GB。 


坎 计算 机 管理 

文件 们 ， 三 fFIA) 查看 (V)。 大助 (人 
如 中 | 而 而 | 目 丽 | = 日 百 
四 
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如 果 在 图 13-2-8 中 选择 不 分 配 驱 动 器 号 或 驱动 器 路 径 的 话 ， 则 可 在 完成 磁盘 分 区 的 建立 
后 ， 通 过 【如 图 13-2-11 所 示 选 中 该 磁盘 分 区 右 击 纺 更 改 驱 动 器 号 和 路 径 】 的 方法 来 指定 。 
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| 要 HAEE 
| 文件 时 得 看 (V) ”大 动 (H) 

上 和 吵 | 丰 羡 | 卓 辣 二 X 月 必须 器 
| 萎 计算 机 管理 (本 地 ) 


| 容量 | 可 用 空间 | 
状 杰 府 好 (启动 页 而 文件 , 故障 转 储 主 分 区 ) 39.51 GB 23.80 GB 60% 
状态 良好 { 主 分 区) 500GB 597 GB 99 和 % 
状态 良好 (系统 , 活动 , 主 分 区 ) 500 MB 104 MB 24 % 


13-2-1] 


可 以 在 基本 磁盘 中 尚未 使 用 (未 配置 ) 的 空间 内 建立 扩展 磁盘 分 区 〈extended 

| partition) 。 一 个 基本 磁盘 内 只 可 以 建立 一 个 扩展 磁盘 分 区 ， 但 是 在 这 个 扩展 磁盘 分 区 内 可 以 
建立 多 个 逻辑 驱动 器 。 
”我们 将 在 图 13-2-10 中 14GB 的 未 分 配 空间 内 建立 一 个 10GB 〈10240MB) 的 简单 卷 。 在 已 
经 有 3 个 主 分 区 的 情况 下 ， 新 建 第 4 个 简单 卷 时 ， 它 会 自动 被 设置 为 扩展 磁盘 分 区 ， 因 此 如 果 
在 图 13-2-10 中 14GB 的 未 分 配 空间 建立 一 个 10GB 的 简单 卷 时 ， 它 会 先 将 此 未 分 配 空间 设置 为 
扩展 磁盘 分 区 ， 然 后 在 其 中 建立 一 个 10GB 的 简单 卷 ， 并 赋予 一 个 逻辑 驱动 器 号 ， 剩 余 的 可 用 
空间 (4GB) 可 以 再 建立 多 个 简单 卷 。 

建立 扩展 磁盘 分 区 的 步骤 与 前 面 建立 主 分 区 类 似 ， 此 处 不 再 重复 ， 图 13-2-12 为 完成 后 的 
界面 ， 圈 起 来 的 部 分 就 是 扩展 磁盘 分 区 ， 其 中 10GB 的 F: 磁盘 就 是 所 建立 的 简单 卷 ， 另 外 还 剩 
余 大 约 4GB 的 可 用 空间 。 


状 杰 良 好 后 动 页 面 文 作 故 入 转 广 主 分 区 ) 39.51 GB 23.81 GB 50 % 
状态 次 好 (者 久 虹 动 呈 ) 


图 13-2-12 
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只 有 在 建立 第 4 个 磁盘 分 区 时 ， 才 会 自动 被 设置 为 扩展 磁盘 分 区 。 如 果 不 希望 受 限 于 第 4 
个 磁盘 分 区 的 话 ， 需 要 使 用 Diskpart'exe 程 序 。 要 利用 Diskpartexe 在 图 13:2-=10 中 14GB 
的 未 分 配 空间 内 建立 一 个 10 GB 简 单 卷 的 话 ， 打 开 命 令 提示 符 或 Windows PowerShell， 

然后 依 序 执行 以 下 命令 : diskpart 、Select Disk 0、 create “partition 。 extended 
size=10240、exit、exit。 


建立 逻辑 驱动 器 
我 们 可 以 在 扩展 磁盘 分 区 的 可 用 空间 内 建立 多 个 逻辑 驱动 器 。 
STEP 回 ”选中 图 13-2-13 中 扩展 磁盘 分 区 ( 绿色 区 域 ) 右 击 2 新 建 简单 卷 。 


图 13-2-13 


STEP 圆 ”出现 欢迎 使 用 新 建 简单 卷 向 导 界 面 时 单 击 下拉 
STEP 回 。 在 图 13-2-14 中 设置 此 磁盘 分 区 的 大 小 后 单 击 评 请 员 按钮。 


图 13-2-14 


国 sso 
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TEP 四 。 在 图 13-2-15 中 指定 一 个 驱动 器 号 来 代表 此 磁盘 分 区 后 单 击 病 测 唱 技 钮 ( 此 界面 的 
详细 说 明 可 参阅 图 13-2-8 的 说 明 ) 。 


在 图 13-2-16 中 选择 适当 的 设置 值 后 单 击 访 国 国 技 钮 ( 此 界面 的 详细 说 明 可 参阅 
图 13-2-9 的 说 明 ) 。 


图 13-2-16 


出 现 正在 完成 新 建 简单 卷 向 导 界面 时 单 击 喜 届 按钮 。 
之 后 系统 会 开始 将 此 磁盘 分 区 格式 化 ， 图 13-2-17 为 完成 后 的 界面 ( 磁盘 驱动 器 
< 油 员 由 图 13-2-17 可 知 此 扩展 磁盘 分 区 内 还 有 约 2GB 的 可 用 空间 ( 绿色 区 域 ) 
您 可 以 在 此 空间 内 再 新 建 简单 卷 ( 逻辑 驱动 器 ) 。 
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以 x86/x64 计 算 机 来 说 ， 系 统 分 区 内 存储 着 启动 文件 ， 例 如 Bootmgr〈 启 动 管理 器 ) 等 。 
使 用 BIOS 模 式 工作 的 计算 机 启动 时 ， 计 算 机 主板 上 的 BIOS 会 读 取 磁 盘 内 的 MBR， 然 后 由 
MBR 去 读 取 系统 分 区 内 的 启动 程序 代码 〈 位 于 系统 分 区 最 前 端的 Partition Boot Sector 内 ) ， 
再 由 此 程序 代码 去 读 取 系 统 分 区 内 的 启动 文件 ， 启 动 文 件 再 到 启动 分 区 内 加 载 操 作 系统 文件 
并 启动 操作 系统 。 因 为 MBR 是 到 活动 (active) 的 磁盘 分 区 去 读 取 启 动 程序 代码 ， 所 以 必须 
将 系统 分 区 设置 为 活动 。 

以 图 13-2-18 为 例 ， 磁 盘 0 中 第 2 个 磁盘 分 区 中 安装 着 Windows Server 2016， 它 是 启动 分 
区 ; 第 1 个 磁盘 分 区 为 系统 保留 分 区 ， 它 存储 着 启动 文件 ， 例 如 Bootmgr《〈 启 动 管理 器 ) ， 由 
于 它 是 系统 分 区 ， 因 此 必须 是 活动 分 区 。 


海 计算 内 苇 理 本 头 
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如 果 将 第 2 个 磁盘 分 区 设置 为 活动 的 话 ， 则 重新 启动 计算 机 时 ， 因 为 第 2 个 磁盘 分 区 内 没有 
启动 文件 ， 所 以 MBR 无 法 读 取 到 启动 文件 ， 界 面 会 显示 BOOTMGR is missing 的 消息 ， 也 -| 
无 法 启动 Windows Server 2016， 此 时 必须 利用 其 他 方法 来 重新 将 第 1 个 磁盘 分 区 设置 为 活 


动 ， 例 如 利用 Windows Server 2016 USB、DVD 光 盘 来 启动 计算 机 ， 然 后 通过 修复 计算 机 
选项 来 修复 。 也 可 以 利用 MS-DOS 和 袜 盘 或 U 盘 启动 计算 机 ， 然 后 通过 FDISK.EXE 来 设置 。 
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在 安装 Windows Server 2016 时 ， 安 装 程序 会 自动 建立 两 个 磁盘 分 区 ， 其 中 一 个 为 系统 保 
留 分 区 ， 一 个 用 来 安装 Windows Server 2016“〔〈 见 前 面 的 图 13-2-18) 。 安 装 程序 会 将 启动 文件 
放置 到 系统 保留 分 区 内 ， 并 将 它 设置 为 活动 ， 此 磁盘 分 区 是 扮演 系统 分 区 的 角色 。 老 因 特 殊 
原因 需要 将 活动 磁盘 分 区 更 改 为 另外 一 个 主 分 区 的 话 : 【选中 该 主 分 区 右 击 纺 将 分 区 标记 为 
活动 分 区 】。 


下 面 说 明 如 何 对 磁盘 分 区 格式 化 〈format) 、 如 何 设置 或 更 改 磁 盘 卷 标 〈label) 与 如 何 
将 FAT/FAT32 转 换 为 NTFS 文 件 系统 等 。 


站 格式 化 : 如 果 在 建立 磁盘 分 区 时 并 未 同时 对 其 进行 格式 化 操作 ， 此 时 可 以 利用 【 选 
中 磁盘 分 区 右 击 叉 格 式 化 〗 的 方法 对 其 格式 化 。 注 意 ， 如 果 磁 盘 分 区 内 已 经 有 数据 
存在 的 话 ， 则 格式 化 后 这 些 数据 都 将 丢失 。 

不 能 在 系统 已 启动 的 情况 下 对 系统 分 区 或 启动 分 区 进行 格式 化 ， 但 是 可 以 在 安装 操 
作 系统 过 程 中 ， 通 过 安装 程序 来 对 它们 删除 或 格式 化 。 

包 添加 磁盘 卷 标 : 通过 【选中 磁盘 分 区 右 击 仿 属 性 】 的 方法 ， 然 后 如 图 13-2-19 所 示 为 

此 磁盘 分 区 设置 一 个 易于 识别 的 卷 标 。 
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沁 将 FAT/FAT32 转 换 为 NTFS 文 件 系 统 : 可 以 利用 CONVERTEXE 程 序 将 文件 系统 为 
FATFAT32 的 磁盘 分 区 转换 为 NTFS (无 法 转换 为 ReFS ) : 【 按 双 + 辆 键 2 命 令 提 示 
符 】〗】 或 【 单 击 左下 角 开 始 图 标 困 QWindows PowerShell〗】， 然 后 执行 命令 (假设 要 将 
磁盘 H: 转换 为 NTFS ) CONVERT H: /FS:NTFS。 
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浊 删除 磁盘 分 区 或 远 辑 驱动 器 : 可 通过 【选中 该 磁盘 分 区 (或 卷 ) 右 击 人 删除 磁盘 分 
区 (或 删除 卷 ) 】 的 方法 。 


如 果 要 更 改 驱动 器 号 或 磁盘 路 径 : 【选中 卷 右 击 纺 更 改 驱动 器 号 和 路 径 人 如 图 13-2-20 所 
示 操 作 】。 


1. 请 不 要 随意 更 改 驱动 器 号 ， 因 为 有 很 多 应 用 程序 会 直接 参照 磁盘 驱动 器 号 来 访问 数 
据 ， 如 果 更 改 了 驱动 器 号 ， 这 些 应 用 程序 可 能 会 无 法 读 取 所 需要 的 数据 。 
2. 当前 正在 使 用 中 的 启动 分 区 的 驱动 器 号 是 无 法 更 改 的 。 
也 可 以 通过 图 13-2-21 界 面 中 的 装 入 以 下 空白 NTFS 文 件 夹 中 ， 将 一 个 空 文件 夹 映 射 到 此 
磁盘 分 区 ， 例 如 利用 CSWebPage 来 代表 此 磁盘 分 区 ， 则 以 后 所 有 存储 到 CAWebPage 的 文件 帮 
会 被 存储 到 此 磁盘 分 区 内 。 
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基本 磁盘 卷 可 以 被 扩展 ， 也 就 是 可 以 将 未 配置 的 空间 合并 到 基本 卷 内 ， 以 便 扩 大 其 容 
量 ， 不 过 需要 注意 以 下 事项 ， 
匀 只 有 尚未 格式 化 或 已 被 格式 化 为 NTFS、ReFS 磁 盘 分 区 才 可 以 被 扩展 ，exFAT、 
FAT32 与 FAT 的 磁盘 区 无 法 被 扩展 。 
站 扩展 的 空间 ， 必 须 是 紧 跟 着 此 基本 卷 之 后 的 未 分 配 空间 。 
假设 要 扩展 图 13-2-22 中 磁盘 C: 的 容量 〈 目 前 容量 约 为 39.31GB) ， 也 就 是 要 将 后 面 20GB 
的 可 用 空间 合并 到 C: 内 ， 合 并 后 的 C: 容量 为 59.51 GB。 


_ 文 了 站 。 覃 人 FA 得 看 V) 帮助 人 ca 攻 _ > 本 
和 中 | 直 曾 | 目 靖 | 二 忆 下 最 百 


请 如 图 13-2-23 所 示 【 选 中 磁盘 C: 右 击 人 扩展 卷 人 如 图 13-2-24 所 示 设 置 要 扩展 的 容量 
(20480MB ) 与 此 容量 的 来 源 磁盘 〈 磁 盘 0) 】。 图 13-2-25 为 完成 后 的 界面 ， 从 中 可 看 出 C: 
磁盘 的 容量 已 被 扩大 为 $9.531GB。 
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13.3 动态 磁盘 的 管理 


动态 磁盘 支持 多 种 类 型 的 动态 卷 ， 它 们 之 中 有 的 可 以 提高 读 写 效率 、 有 的 可 以 提供 容错 
功能 、 有 的 可 以 扩大 磁盘 的 使 用 空间 ， 这 些 卷 包含 简单 卷 〈simple volume ) 、 跨 区 卷 
(spanned volume) 、 带 区 卷 〈striped volume) 、 镜 像 卷 (mirrored volume ) 、RAID-S 卷 
(RAID-5 volume) 。 其 中 简单 卷 为 动态 磁盘 的 基本 单位 ， 而 其 他 4 种 则 分 别 具 备 着 不 同 的 特 
点 ， 如 表 13-3-1 所 示 。 


表 13-3-1 


CE 
二 SHY | 无 
让 STR | 有 


这 和 、 下 隔 和 
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必须 先 将 基本 磁盘 转换 成 动态 磁盘 后 才 可 以 在 磁盘 内 建立 上 述 特殊 的 卷 ， 不 过 在 转换 之 


| 前， 需要 注意 以 下 事项 : 


Administrators 或 Backup Operators 组 的 成 员 才 有 权 执 行 转换 操作 。 

在 转换 之 前 ， 需 要 先 关闭 所 有 正在 执行 的 程序 。 

转换 为 动态 磁盘 后 ， 原 有 的 主 分 区 与 远 辑 驱动 器 都 会 自动 被 转换 成 简单 卷 。 

转换 为 动态 磁盘 后 ， 整 个 磁盘 内 就 不 会 再 有 任何 的 基本 卷 ( 主 分 区 或 远 辑 驱动 

器 ) 。 

沁 转换 为 动态 磁盘 后 ， 无 法 直接 再 将 它 转 换 回 基本 磁盘 ， 除 非 先 删除 磁盘 内 的 所 有 
卷 ， 也 就 是 空 磁 盘 才 可 以 被 转换 回 基本 磁盘 。 

站 如 果 一 个 基本 磁盘 内 同时 安装 了 多 套 Windows 操 作 系统 的 话 ， 不 要 将 此 基本 磁盘 转 

成 动态 磁盘 ， 因 为 一 旦 转换 为 动态 磁盘 后 ， 则 除了 当前 操作 系统 外 ， 可 能 无 法 再 启 

动 其 他 操作 系统 。 


将 基本 磁盘 转换 为 动态 磁盘 的 步骤 为 , 【如 图 13-3-1 所 示 选 中 任意 一 个 基本 磁盘 右 击 人 3 
转换 到 动态 磁盘 人 3 勾 选 所 有 要 转换 的 基本 磁盘 3 单 击 吐 册 按钮 2 单 击 甘 再 扩 钮 】. 


区 区 区 区 


简单 卷 是 动态 磁盘 中 的 基本 单位 ， 它 的 地 位 与 基本 磁盘 中 的 主 分 区 相似 。 可 以 从 一 个 动 
态 磁 盘 内 选择 未 分 配 空间 来 建立 简单 卷 ， 并 且 在 必要 的 时 候 还 可 以 将 此 简单 卷 扩 大 。 
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简单 卷 可 以 被 格式 化 为 NTFS、ReFS、exFAT、FAT32 或 FAT 文 件 系 统 ， 但 是 如 果 要 扩展 
简单 卷 的 话 〈 扩 大 简单 卷 的 容量 ) ， 就 必须 是 NTFS 或 ReFS。 建 立 简 单 卷 的 步骤 如 下 ; 
STEP 回 ”如 图 13-3-2 所 示 【 选中 一 块 未 配置 的 空间 ( 假设 是 磁盘 1 ) 右 击 2 新建 简单 卷 】。 
霉 计算 机 号 理 一 口 X 


文 HH 报 fFIA) 查看 (V) 3 “二 二 二 svg 人 w 
4 各 吵 ] 由 国 | 目 曾 | 已 百 


STEP 贺 出现 欢迎 使 用 新 建 简单 卷 向 导 界面 时 单 击 放 。 旨 氢 
STEP 回 。 在 图 13-3-3 中 设置 此 简单 卷 的 大 小 后 单 击 病 国 虽 按钮。 


es el 
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STEP 四 。 在 图 13-3-4 中 指定 一 个 驱动 器 号 来 代表 此 简单 卷 后 单 击 匡 国 量 按钮 ( 此 界面 的 详细 
说 明 可 参阅 图 13-2-8 的 说 明 ) 。 


园 :ss 
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图 13-34 


STEP 回 。 在 图 13-3-5 中 ， 请 输入 与 选择 适当 的 设置 值 后 单 击 坪 呈 国 拉 钮 ( 此 界面 的 详细 说 明 
请 参阅 图 13-2-9 的 说 明 ) 。 


图 1335 
STEP 回 ”出现 正 在 完成 新 建 简单 卷 向 导 界面 时 单 击 走 而 按钮 。 


STEP 园 系统 开始 格式 化 此 磁盘 分 区 。 图 13-3-6 为 完成 后 的 界面 ， 其 中 E: 就 是 我 们 所 建立 的 
简单 卷 ， 其 右边 为 剩余 的 未 分 配 空间 。 
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简单 卷 可 以 被 扩展 ， 也 就 是 可 以 将 未 分 配 的 空间 合并 到 简单 卷 内 ， 以 便 扩 大 其 容量 ， 不 
过 请 注意 以 下 事项 : 
站 只 有 尚未 格式 化 或 已 被 格式 化 为 NTFS、ReFS 的 卷 才 可 以 被 扩展 ，exFAT、EFAT32 与 
FAT 的 卷 无 法 被 扩展 。 
涪 新 增加 的 空间 既 可 以 是 同一 个 磁盘 内 的 未 分 配 空间 ， 也 可 以 是 另外 一 个 磁盘 内 的 未 
分 配 空间 。 若 是 将 简单 卷 扩 展 到 另外 一 个 磁盘 的 未 分 配 空间 内 的 话 ， 它 就 变 成 了 跨 
区 卷 (spanned volume ) 。 简 单 卷 可 以 成 为 镜像 卷 、 带 区 卷 或 RAID-S 卷 的 成 员 之 
一 ， 但 在 它 变 成 跨 区 卷 后 ， 就 不 具备 此 功能 了 。 
假设 要 从 图 13-3-7 的 磁盘 1 中 未 分 配 的 23GB 取 用 3 GB， 并 将 其 加 入 简单 卷 E:， 也 就 是 将 
容量 为 SGB 的 简单 卷 E: 扩 大 到 8GB， 请 如 图 13-3-7 所 示 选 中 简单 卷 E: 右 击 人 扩展 卷 。 


13-3-7 


在 图 13-3-8 中 输入 要 扩展 的 容量 〈3072MB ) 与 此 容量 的 来 源 磁 盘 〈 磁 盘 1) 。 图 13-3-9 为 
完成 后 的 界面 ， 其 中 E: 磁 盘 的 容量 已 被 扩大 。 
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二 HHRIRE 壹 一 D 
文件 有 反 fFIA) 坦 旱 (V) 帮助 f 


4 中 | 由 朵 | 目 而 | 天 X 避 有 员 加 


跨 区 卷 (spanned volume) 是 由 数 个 位 于 不 同 磁 盘 的 未 分 配 空间 所 组 成 的 一 个 逻辑 卷 ， 
也 就 是 说 可 以 将 多 个 磁盘 内 的 未 分 配 空间 合并 成 为 一 个 跨 区 卷 ， 并 赋予 一 个 共同 的 驱动 器 
号 。 跨 区 卷 具备 以 下 特性 ; 


阅 可 以 将 动态 磁盘 内 多 个 剩余 的 、 容 量 较 小 的 未 分 配 空间 合并 为 一 个 容量 较 大 的 跨 区 
卷 ， 以 便 更 有 率 地 利用 磁盘 空间 。 


跨 区 卷 与 某 些 计算 机 主板 所 提供 的 JBOD ( Just a Bunch of Disks ) 功能 类 似 ， 通 过 JBOD 
可 以 将 多 个 磁盘 组 成 一 个 磁盘 来 使 用 。 


可 以 选用 从 2 到 32 个 磁盘 内 的 未 分 配 空间 来 组 成 跨 区 卷 。 

组 成 跨 区 卷 的 每 一 个 成 员 ， 其 容量 大 小 可 以 不 相同 。 

组 成 跨 区 卷 的 成 员 中 ， 不 能 包含 系统 分 区 与 启动 分 区 。 

系统 在 将 数据 存储 到 跨 区 卷 时 ， 是 先 存储 到 其 成 员 中 的 第 1 个 磁盘 内 ， 待 其 空间 用 完 
后 ， 才 会 将 数据 存储 到 第 2 个 磁盘 ， 以 此 类 推 。 

跨 区 卷 不 具备 提高 磁盘 读 写 效率 的 功能 。 

跨 区 卷 不 具备 容错 的 功能 ， 换 和 句 话 说 ， 成 员 当 中 任何 一 个 磁盘 故障 时 ， 整 个 跨 区 卷 
内 的 数据 将 跟着 丢失 。 

跨 区 卷 无 法 成 为 镜像 卷 、 带 区 卷 或 RAID-5 卷 的 成 员 。 

跨 区 卷 可 以 被 格式 化 成 NTFS 或 ReFS 格 式 。 

可 以 将 其 他 未 分 配 空间 加 入 现 有 的 跨 区 卷 内 ， 以 便 扩 展 其 容量 。 

整个 跨 区 卷 是 被 视 为 一 体 的 ， 无 法 将 其 中 任何 一 个 成 员 独 立 出 来 使 用 ， 除 非 先 将 整 
个 跨 区 卷 删除 。 


区 区 区 区 区 区 


区 长 长 区 
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下 面 我 们 利用 将 图 13-3-10 中 3 个 未 分 配 空间 合并 为 一 个 跨 区 卷 的 方式 来 说 明 如 何 建立 跨 
区 卷 。 


尖 计 算术 各 理 
和 中 | 碳 硬 | 目 豆 | 二 X 已 王 骆 串 


图 13-3-10 
STEP 和 加 ”选中 图 13-3-10 中 3 个 未 分 配 空间 中 的 任何 一 个 ( 例如 磁盘 1 ) 右 击 2 新 建 跨 区 卷 。 
STEP 加 。 出 现 欢迎 使 用 新 建 跨 区 卷 向 导 界面 时 单 击 请 症 弹 按钮。 
STEP 略 ”如 图 13-3-11 所 示 ， 磁 盘 0、1、2 分 别 选 用 3 GB、4 GB、5 GB 的 容量 ( 根据 图 13-3- 
10 的 要 求 ) 后 单 击 请 汪 测 坟 钮 。 


图 13-3-11 


STEP 四 。 在 图 13-3-12 中 指定 一 个 驱动 器 号 来 代表 此 跨 区 卷 。 完 成 后 单 击 国 提 按 钮 ( 此 蜀 
面 的 详细 说 明 请 参阅 图 13-2-8 的 说 明 ) 。 

STEP 回 ”在 图 13-3-13 中 输入 与 选择 适当 的 设置 值 后 单 击 蛮 汶 国 按 钮 ( 此 界面 的 详细 说 明 可 
参阅 图 13-2-9 的 说 明 ) 。 


国 >e2 
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出 现 正在 完成 新 建 跨 区 卷 向 导 界面 时 单 击 雯 刷 按 钮 。 
系统 开始 建立 与 格式 化 此 跨 区 卷 。 图 13-3-14 为 完成 后 的 界面 ， 其 中 的 F: 磁盘 就 是 
跨 区 卷 ， 分 布 在 3 个 磁盘 内 ， 总 容量 为 12GB。 
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| 
人 | 
带 区 卷 〈striped volume) 是 由 多 个 分 别 位 于 不 同 磁盘 的 未 分 配 空间 所 组 成 的 一 个 逻辑 
卷 ， 也 就 是 说 可 以 从 多 个 磁盘 内 分 别 选取 未 分 配 的 空间 ， 并 将 其 合并 成 为 一 个 带 区 卷 ， 然 后 | 
赋予 一 个 共同 的 驱动 器 号 。 
与 跨 区 卷 不 同 的 是 : 带 区 卷 的 每 一 个 成 员 ， 其 容量 大 小 是 相同 的 ， 且 数据 写 入 时 是 平均 
地 写 入 到 每 一 个 磁盘 内 〈 以 64KB 为 单位 ) 。 带 区 卷 是 所 有 卷 中 运行 效率 最 好 的 卷 。 带 区 卷 具 | 
备 以 下 特性 ; 
半 可 以 从 2 到 32 磁 盘 内 分 别 选 用 未 分 配 空 间 来 组 成 带 区 卷 ， 这 些 磁 盘 最 好 都 是 相同 的 制 
造 商 、 相 同 的 型 号 。 
习 带 区 卷 使 用 的 是 RAID-0 技 术 。 


当初 RAID 技 术 发 布 时 ， 它 的 全 名 是 Redundant Array of Inexpensive Disks ， 不 过 现在 比较 
常用 的 全 名 是 Redundant Array of Independent Disks。 


习 
沁 
沁 


组 成 带 区 卷 的 每 一 个 成 员 ， 其 容量 大 小 是 相同 的 。 

组 成 带 区 卷 的 成 员 中 不 能 包含 系统 分 区 与 启动 分 区 。 

系统 在 将 数据 存储 到 带 区 卷 上 时 ， 会 将 数据 拆 成 等 量 的 64KB， 例 如 如 果 是 由 4 个 磁 

盘 组 成 的 带 区 卷 ， 则 系统 会 将 数据 拆 成 每 4 个 64KB 为 一 组 ， 每 一 次 将 一 组 4 个 64KB 

的 数据 分 别 写 入 4 个 磁盘 内 ， 一 直到 所 有 数据 都 写 入 到 磁盘 为 止 。 这 种 方式 是 所 有 

磁盘 同时 在 工作 ， 因 此 可 以 提高 磁盘 的 读 写 效率 。 

汉 带 区 卷 不 具备 容错 功能 ， 换 句 话 说， 成 员 当 中 任何 一 个 磁盘 故障 时 ， 球 个 带 区 老 内 
的 数据 将 跟着 丢失 。 

局 带 区 卷 一 旦 被 建立 好 后 ， 就 无 法 再 被 扩展 (extend ) ， 除 非 将 其 删除 后 再 重建 。 

站 带 区 卷 可 以 被 格式 化 成 NTFS 或 ReFS 格 式 。 

当 整个 带 区 卷 是 被 视 为 一 体 的 ， 无 法 将 其 中 任何 一 个 成 员 独 立 出 来 使 用 ， 除 非 先 将 整 

个 带 区 卷 删除 。 


下 面 通过 将 图 13-3-15 中 3 个 磁盘 内 的 3 个 未 分 配 空间 合并 为 一 个 带 区 卷 的 方式 来 说 明 如 何 ， 
建立 带 区 卷 。 在 图 13-3-15 中 ，3 个 磁盘 目前 的 未 分 配 空间 容量 不 同 ， 不 过 我 们 会 在 建立 带 区 
卷 的 过 程 中 从 各 磁盘 中 选用 相同 的 容量 〈 以 7 GB 为 例 ) 。 
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二 计算 机 芭 还 
文件 四。 剖 fFIA) 查看 (V) 本 助 (H) 
4 和 和 中 | 直面 | 日 而 | 语 日 听 


5 | 可 有 | 
二 NTFS 从 二 克扣 动 关 羡 村 全 35166 23.61 6 6 人 % 


5006G86 498GB 100% 
T1200 6B 11.35 GB 100% 


图 13-3-15 


STEP 回 ”选中 图 13-3-15 中 3 个 未 分 配 空间 中 的 任何 一 个 ( 例如 磁盘 1 ) 右 击 3 新 建 带 区 卷 。 

STEP 回 。 出 现 欢迎 使 用 新 建 带 区 卷 向 导 界面 时 单 击 曾 轩辕 按钮 。 

STEP 图 分别 从 图 13-3-16 的 各 磁盘 中 选取 7168MB ( 7GB ) ， 因 此 这 个 带 区 卷 的 总 容量 为 
21504MB ( 21 GB ) 。 完 成 后 单 击 病 是 章 塘 钮 。 


如 果 某 个 磁盘 内 没有 一 个 超过 7 GB 的 连续 可 用 空间 ， 但 是 却 有 多 个 不 连续 的 未 分 配 空 
间 ， 其 总 容量 足够 7 GB 的 话 ， 则 此 磁盘 也 可 以 成 为 带 区 卷 的 成 员 。 


图 13-3-16 
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STEP 四 。 在 图 13-3-17 中 指定 一 个 驱动 器 号 来 代表 这 个 带 区 卷 ， 完成 后 间 击 国生 拓 术 包 ( 
7 ) 。 


图 133.17 
STEP 回 在 图 13-3- 9 委 六 和 生涯 内 入 作者 ( 此 界面 的 详细 说 
参阅 图 13-2-9 的 说 明 ) as 


图 133.18 
STEP 回 。 出 现 正在 完成 新 建 带 区 卷 向 导 界面 时 单 击 国 员 以 钮 。 


STEP 贺 。 之 后 系统 会 开始 建立 与 格式 化 此 带 区 卷 。 图 13-3-19 为 完成 后 的 界面 ， 其 中 G: 
就 是 带 区 卷 ， 分 布 在 3 个 磁盘 内 ， 并 且 在 每 一 个 磁盘 内 所 占用 的 容量 都 相 
(7GB ) 。 
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苇 单 动 坟 NTFS ETTEEETTTSETTTTT 9351 68 581 GE 丽 区 
状 术 良好 


500GB 498GB 100% 国 
1200 GB 1195 G8 100% 
2100G8 2094GB 100% 局 
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本 一 光 


了 


镜像 卷 《mirrored volume) 具备 容错 的 功能 。 可 以 将 一 个 简单 卷 与 另 一 个 未 分 配 空间 组 
成 一 个 镜像 卷 ， 或 将 两 个 未 配置 的 空间 组 成 一 个 镜像 卷 ， 然 后 赋予 一 个 逻辑 驱动 器 号 。 这 两 
| 企 区 域内 将 存储 完全 相同 的 数据 ， 当 有 一 个 磁盘 故障 时 ， 系 统 仍然 可 以 使 用 另 一 个 正常 磁盘 
内 的 数据 ， 因 此 它 具 备 容错 的 能 力 。 镜 像 卷 具备 以 下 特性 ; 
| 半 镜 像 卷 的 成 员 只 有 两 个 ， 且 它们 需 位 于 不 同 的 动态 磁盘 内 。 可 选择 一 个 简单 卷 与 一 
个 未 分 配 的 空间 或 两 个 未 分 配 的 空间 来 组 成 镜像 卷 。 
站 如 果 是 选择 将 一 个 简单 卷 与 一 个 未 分 配 空间 组 成 镜像 卷 ， 则 系统 在 建立 镜像 卷 的 过 
程 中 会 将 简单 卷 内 的 现 有 数据 复制 到 另 一 个 成 员 中 。 


半 镜像 卷 使 用 的 是 RAID-1 技 术 。 

匀 组 成 镜像 卷 的 两 个 卷 的 容量 大 小 是 相同 的 。 

忆 组 成 镜像 卷 的 成 员 中 可 以 包含 系统 分 区 与 启动 分 区 。 

站 镜像 卷 的 成 员 中 不 能 包含 GPT 磁 盘 的 EFI 系 统 分 区 (ESP) 。 

间 系统 将 数据 存储 到 镜像 卷 时 ， 会 将 一 份 相同 的 数据 同时 存储 到 两 个 成 员 中 。 当 有 一 
个 磁盘 故障 时 ， 系 统 仍 然 可 以 使 用 另 一 个 磁盘 内 的 数据 ， 因 此 具备 容错 的 能 力 。 

洋 系 统 在 将 数据 写 入 镜像 卷 时 ， 会 稍微 多 花费 一 点 时 间 将 一 份 数据 同 时 写 到 两 个 磁盘 


内 ， 故 镜像 卷 的 写 入 效率 稍微 差 一 点 ， 因 此 为 了 提高 镜像 卷 的 写 入 效率 ， 建 议 将 两 
个 磁盘 分 别 连接 到 不 同 的 磁盘 控制 器 (controller ) ， 也 就 是 采用 Disk Duplexing 架 
构 ， 此 架构 也 可 增加 容错 功能 ， 因 为 即使 一 个 控制 器 故障 ， 系 统 仍然 可 利用 另外 一 
个 控制 器 来 读 取 另 外 一 个 磁盘 内 的 数据 。 

站 在 读 取 镜 像 卷 的 数据 时 ， 系 统 可 以 同时 从 两 个 磁盘 来 读 取 不 同 部 分 的 数据 ， 因 此 可 
减少 读 取 的 时 间 ， 提 高 读 取 的 效率 。 若 其 中 一 个 成 员 故 障 的 话 ， 镜 像 卷 的 效率 将 恢 
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复 为 平常 只 有 一 个 磁盘 时 的 状态 。 

涪 由 于 镜像 卷 的 磁盘 空间 的 有 效 使 用 率 只 有 50% ( 因为 两 个 磁盘 内 存储 重复 的 数 
据 ) ， 因 此 每 一 个 光 字 节 的 单位 存储 成 本 较 高 。 

沁 镜像 卷 一 旦 被 建立 好 后 ， 就 无 法 再 被 扩展 〈extend ) 。 

让 Windows Server 2016、Windows Server 2012 (R2 ) 、Windows Server 2008 (R2 ) 等 
服务 器 级 别 的 系统 都 支持 镜像 卷 。 

半 镜像 卷 可 被 格式 化 成 NTFS 或 ReFS 格 式 。 不 过 也 可 选择 将 一 个 现 有 的 FAT32 简 单 卷 与 
一 个 未 分 配 空 间 组 成 镜像 卷 。 

浊 整个 镜像 卷 是 被 视 为 一 体 的 ， 若 想 将 其 中 任何 一 个 成 员 独 立 出 来 使 用 的 话 ， 请 中 断 
镜像 关系 ， 或 删除 镜像 ， 或 删除 此 镜像 卷 。 


建立 镜像 郑 


下 面 通过 将 图 13-3-20 中 磁盘 1 的 简单 磁盘 区 F: 与 磁盘 2 的 未 分 配 空间 组 成 一 个 镜像 卷 的 方 ， 
式 来 说 明 如 何 建立 镜像 卷 〈《 也 可 以 利用 两 个 未 分 配 的 空间 来 建立 镜像 卷 ) 。 


葵 计算 机 营 至 
文件 (办 作 (A。 坦 看 (V) 帮助 (H) 


4 中 | 在 国 | 目 曾 | 王 忆 下 


22.00 GB 2193GB 100% 下 
500GB 498GB 100% 
500 MB 104MB 21% 


图 13-3-20 


STEP 禹 。 选中 图 13-3-20 中 的 简单 卷 F: 右 击 2 添 加 镜像 ( 如 果 是 选中 未 分 配 的 空间 右 击 的 
话 ， 则 「 添 加 镜像 」 会 改 为 「 新 建 镜像 卷 」 ) 。 
STEP 回 在 图 13-3-21 中 选择 磁盘 2 后 单 击 渍 疯 绩 鲍 按 钮 。 


国 es 


| 
| 第 13 章 破 盘 系统 的 管理 | 时 轩 


图 13-3-21 


@@ 鸭 何 丰 国 B-3-21 中 无 法 选择 磁盘 0 呢 ? 
因为 在 图 13-3-20 中 是 针对 简单 磁盘 区 F: 建立 镜像 卷 ， 其 容量 为 22GB， 且 已 包含 数 
据 ， 而 建立 镜像 卷 时 需 将 F: 的 数据 复制 到 另 一 个 未 分 配 空间 ， 然 而 磁盘 0 的 未 分 配 空间 


| 的 容量 不 足 ( 仅 20GB ) ， 故 无 法 选择 磁盘 0 ( 若 系统 找 不 到 容量 足够 的 未 分 配 空间 的 
话 ， 则 选中 简单 卷 右 击 后 无 法 使 用 添加 镜像 选项 ) 。 


| 


STEP 图 之 后 系统 会 如 图 13-3-22 所 示 在 磁盘 2 的 未 分 配 空间 内 建立 一 个 与 磁盘 1 的 F: 磁盘 相 
同 容 量 的 简单 卷 ， 且 开始 将 磁盘 1 的 F: 磁盘 内 的 数据 复制 到 磁盘 2 内 的 F: 内 ( 同 
步 ) ， 完 成 后 的 镜像 卷 F: 是 分 布 在 两 个 磁盘 内 ， 且 两 个 磁盘 内 的 数据 是 相同 的 。 


和 中 | 内装 | 目 羡 | = 多 巴 旭 攻 百 ER 
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如 果 磁 盘 2 尚 未 被 转换 为 动态 磁盘 ， 则 在 建立 镜像 卷 时 ， 系 统 会 自动 转换 。 


中 断 、 删 除 镜像 与 删除 卷 


整个 镜像 卷 是 被 视 为 一 体 的 ， 如 果 要 将 其 中 任何 一 个 成 员 独 立 出 来 使 用 的 话 ， 可 以 通过 
以 下 方法 之 一 来 完成 ; 

匀 中 断 镜像 卷 : 【选中 镜像 卷 右 击 纺 如 图 13-3-23 所 示 选 择 中 断 镜像 卷 】， 中 断后 ， 原 ， 
来 的 两 个 成 员 都 会 被 独立 成 简单 卷 ， 且 其 中 的 数据 都 会 保留 。 其 中 一 个 磁盘 区 的 驱 
动 器 号 会 沿用 原来 驱动 器 号 ， 而 另 一 个 磁盘 区 则 会 被 改 为 下 一 个 可 用 的 驱动 器 号 。 

习 删除 镜像 : 【选中 镜像 卷 右 击 仿 删除 镜像 ( 见 图 13-3-23 中 的 选项 ) 〗 选 择 将 镜像 卷 
中 的 一 个 成 员 删 除 ， 被 删除 的 成 员 ， 其 中 保存 的 数据 也 将 被 删除 ， 且 其 所 占用 的 空 
间 会 被 改 为 未 分 配 空间 。 另 一 个 成 员 内 的 数据 会 被 保留 。 : 

汉 删除 卷 : 【选中 镜像 卷 右 击 叉 删除 卷 ( 见 图 13-3-23 中 的 选项 ) 】 将 镜像 卷 删 除 ， 定 
会 将 两 个 成 员 内 的 数据 都 删除 ， 并 且 两 个 成 员 都 会 变 成 未 分 配 空间 。 


芯 计算 ff 基 理 
相 文件 上 副 fE(A) 坦 看 (V) en nn Wasaraaisiisiiaiaieae aspnenaaeieaiiin ep ee roieapergrceeaieonieriemsensstssotmien 
各 中 | 十 蝴 让 国 | 二 X 局 其 放 丁 ” 

| 本 RS2 同 |%a 用 | ~^ [ar 


5 NS 居 二 地 后 直击 向 汪 3951 66 2381 6 的 员 
状态 诡 好 


2200 GB 21.93GB 100% 
GB 498 GB 100% 
状态 奥 好 (系统 ) 500MB 104M8B 21% 省 


修复 镜像 郑 


镜像 卷 的 成 员 之 中 如 果 有 一 个 磁盘 故障 的 话 ， 系 统 还 是 能 够 从 另 一 个 正常 的 磁盘 来 读 取 
数据 ， 但 却 丧 失 容错 功能 ， 此 时 我 们 应 该 尽快 修复 故障 的 镜像 卷 ， 以 便 继续 提供 容错 功能 。 
图 13-3-24 的 F: 磁盘 为 镜像 卷 ， 我 们 假设 其 成 员 中 的 磁盘 2 故障 了 ， 然 后 利用 此 范例 来 说 明 如 
何 修复 镜像 卷 。 


国 
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| 闪 最 | 可 用 宇 间 | % 可 用 | 
二 二 可 信和 抽 生 5 8 2268 和 和 


22006G8 2193 G8 100% 
5.0068 498 GB 100% 
500 MB 104 MB 21 3 内 


13-3-24 


STEP 回 关机 后 从 计算 机 内 取出 故障 的 磁盘 2。 

STEP 加 ”将 新 的 磁盘 ( 假设 容量 与 故障 的 磁盘 相同 ) 安装 到 计算 机 内 ， 重 新 启动 计算 机 。 
STEP 图 单 击 左下 角 开 始 图 标 田 3Windows 管 理工 具 人 计算 机 管理 存储 仿 磁 盘 管理 。 
STEP 四 ”在 自动 弹出 的 图 13-3-25 中 选择 对 新 安装 的 磁盘 2 初始 化 ， 选 择 磁 盘 分 区 形式 后 单 击 


普 汪 按钮 ( 如 果 没有 自动 弹出 此 界面 的 话 : 【 选中 新 磁盘 右 击 2 联 机 2 选中 新 磁盘 
右 击 2 初始 化 磁盘 】) 。 


STEP 回 之 后 将 出 现 图 13-3-26 的 界面 ， 其 中 的 磁盘 2 为 新 安装 的 磁盘 ， 而 原故 障 磁盘 2 被 显 
示 在 界面 的 最 下 方 ( 上 面 有 丢失 两 个 字 ) 。 
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| 本 Hmes 一 ,Gel 
| 文 作曲 ”各 fFA) 至 要 (V) 枯 动 0 
[和 中 | 者 国 | 目 古 | 己 <: sa 0 二 
| 天 | 训 疝 | 天 昌 | 文 4 下 统 | 六 直上 | 旺 | 可 用 c 陪 | % 可 用 | 
面 人) 动态 NTFS 。 状 二 良好 司 动 页 到 文件 故 乔 秆 依 ) 39.51 GB 23.80 GB 奴 %% 
过 Databare (F) 货 委 ” 动 二 NTFS 。 失 数 的 重婚 22.00 G8B 21.93 GB 10056 多 
cd 同 天 Drawings 全 区 音 ”动态 NTFS 。 状 赤 良好 800GB 797 GB 100% 更 多 换 作 
一 系统 怀 冒 芍 单 动态 NTFS 状 志 要 好 (系统 ) 500MB 104 MB 21% 
13-3-26 
STEP 回 ”如 图 13-3-27 所 示 【 选中 有 失败 的 重复 字样 的 任何 一 个 F: 磁盘 右 击 纺 删除 镜像 】。 
| 
语 翅 了 文件 基 奸 转 久 | 3951 GB 2380G6 60 芝 
和 各 的 重复 2200 .68 2133 G8 100 人 F 


800GB8 7976G8 100% 
S500MB 104MB 24 务 
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图 13-3-28 


STEP 回 ”图 13-3-29 为 完成 删除 镜像 后 的 界面 ， 请 重新 将 F: 与 新 的 磁盘 2 的 未 分 配 空间 组 成 镜 
像 卷 ( 参考 前 面 所 介绍 的 步骤 ) 。 


二 计算 机 E 理 

文 全 ( 昌 。 强 fFIA) 查看 (V) 大 动 (H) 

如 中 | 直 汪 | 目 国 | 天 区 站 忆 攻 四 
乱 单 动态 NTFS 。 状 杰 良好 (后 动 页 而 文件, 故 陡 特 馆 ) 39.51 GB 23.80 GB 60% 
短 音 ”动态 NTFS 。 状态 良好 2200 GB 21.53GB 100%% 
防 单 动 术 NTFS 。 状 杰 良好 800GB 797G8 1005% 
简单 “动态 NTFS 状态 奥 好 (系统 ) 500MB 104MB 21% 


如 果 磁 盘 并 未 故障 ， 但 却 出 现 脱 机 、 遗 失 或 联机 ( 错误 ) 字样 时 ， 可 尝试 【选中 该 磁盘 
右 击 重 新 激活 磁盘 】 来 将 其 恢复 正常 。 若 该 磁盘 经 常 出 现 联 机 ( 错误 ) 字样 的 话 ， 可 
能 此 磁盘 快要 坏 了 ， 请 尽快 备份 磁盘 内 的 数据 ， 然 后 换 一 块 新 磁盘 。 


修复 内 含 系统 卷 与 活动 卷 的 镜像 郑 


如 图 13-3-30 所 示 的 C: 磁 盘 为 镜像 卷 ， 它 也 是 启动 眷 〈 安 装 Windows Server 2016 的 磁盘 分 
区 ) ， 因 此 以 后 每 次 启动 计算 机 时 ， 系 统 都 会 显示 如 图 13-3-31 的 操作 系统 选项 列表 ， 其 中 第 
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1 个 选项 是 磁盘 0 内 的 Windows Server 2016， 第 2 个 选项 是 磁盘 1 内 的 Windows Server 2016， 系 
统 默 认 会 通过 第 1 选项 〈 磁 盘 0) 来 启动 Windows Server 2016， 并 由 它 来 启动 镜像 功能 。 
图 13-3-30 中 两 个 磁盘 的 第 1 个 磁盘 分 区 〈 扮 沉 系 统 分 区 角色 的 系统 保留 分 区 ) 也 是 镜像 卷 。 


乓 计算 机 笃 理 
文件 (加 作 (A) 


查看 (V) 帮助 IH) 


| 和 吵 | 直上 加 ImX 回 属 


要 计算 可 管理 本 地 ) 
订 系 卜 工 层 

YY 鹤 存 依 
》 稳 Windows Server Bacj| 


玖 
》 好 服务 和 应 用 程序 


如 果 磁 盘 0 故 障 ， 虽 然 系统 仍然 可 以 正常 工作 ， 但 是 却 丧 失 容 错 功能 。 


二 人口 
一 


SEE 要 容 最 | 可 用 衬 间 | % 可 用 ] [只 作 
故 烙 ”动态 NTFS 状态 良好 { 尼 动 页 面 文件 , 故 称 转 伴 ) 59.51 GB 4501 68 76% 人 电 
富 倚 迪 ) 500 


锁 傅 ”动态 NTFS 状 坊 展 好 


MB 104MB 21%% 


[Les 

|| as RE Ac N\ 二 
59.51 GB8 NTFS 

联 岂 状 志良 好 (系统 ) 1; 状 术 廊 好 (启动 页 面 文件 , 放 敌 转 捕 ) 


系统 保 轩 才 世 
59.51 GB NTFS 
志良 好 状态 良好 (后 


图 13-3-30 


如 果 未 将 故障 的 磁 


盘 0 从 计算 机 中 取出 的 话 ， 则 重新 启动 计算 机 时 ， 将 无 法 启动 Windows Server 2016， 因 为 一 般 
计算 机 在 启动 时 ， 其 BIOS 会 通过 磁盘 0 来 启动 系统 ， 然 而 磁盘 0 已 经 故障 了 。 即 使 更 换 一 块 新 
磁盘 ， 可 是 如 果 BIOS 仍 然 尝 试 从 新 磁盘 0 来 启动 系统 的 话 ， 则 必然 启动 失败 ， 因 为 新 磁盘 0 内 
没有 任何 数据 。 此 时 可 以 采用 以 下 方法 之 一 来 解决 问题 并 重新 建立 镜像 卷 ， 以 便 继续 提供 容 


音 功能 : 


局 更 改 BIOS 设 定 让 计算 机 从 磁盘 1 来 启动 ， 当 出 现 图 13-3-31 的 界面 时 ， 选 择 列表 中 的 
第 2 个 选项 (辅助 丛 ) 来 启动 Windows Server 2016， 启 动 完 成 后 再 重新 建立 镜像 卷 。 


完成 后 ， 可 自行 决定 是 否 要 将 BIO 


国 :" 


S 改 回 从 磁盘 0 启动 。 


5 


图 13-3-31 


第 13 章 破 盘 系统 的 管理 | 时 时 


少数 计算 机 的 BIOS 不 允许 用 户 更 改 启动 磁盘 。 


浊 将 两 块 磁盘 对 调 ， 也 就 是 将 原来 的 磁盘 1 安装 到 原 磁 盘 0 的 位 置 、 将 新 磁盘 安装 到 原 
磁盘 1 的 位 置 ， 然 后 重新 启动 计算 机 ， 当 出 现 图 13-3-31 的 界面 时 ， 请 选择 列表 中 的 第 
2 个 选项 (辅助 丛 ) 来 启动 Windows Server 2016， 启 动 完 成 后 再 重新 建立 镜像 卷 。 


RAID-5 卷 与 带 区 卷 有 一 点 类 似 ， 也 是 将 多 个 分 别 位 于 不 同 磁盘 的 未 分 配 空间 组 成 的 一 个 
逻辑 卷 。 也 就 是 说 可 以 从 多 个 磁盘 内 分 别 选取 未 分 配 的 空间 ， 并 将 其 合并 成 为 一 个 RAID-5 
卷 ， 然 后 赋予 一 个 共同 的 驱动 器 号 。 

与 带 区 卷 不 同 的 是 : RAID-5 在 存储 数据 时 ， 会 根据 数据 的 内 容 计 算出 其 奇偶 校 验 信 息 
(parity) ， 并 将 奇偶 校 验 一 并 写 入 RAID-5 卷 内 。 当 某 个 磁盘 故障 时 ， 系 统 可 以 利用 奇偶 校 
验 信息 推算 出 该 故障 磁盘 内 的 数据 ， 让 系统 能 够 继续 运行 。 也 就 是 说 ，RAID-5 卷 具备 容错 能 
力 。RAID-5 卷 具备 以 下 特性 ; 


站 可 以 从 3 到 32 磁 盘 内 分 别 选 用 未 分 配 空间 来 组 成 RAID-5 卷 ， 这 些 磁盘 最 好 都 是 相同 

的 制造 商 、 相 同 的 型 号 。 

组 成 RAID-S 卷 的 每 一 个 成 员 的 容量 大 小 都 是 相同 的 。 

组 成 RAID-5 卷 的 成 员 中 不 能 包含 系统 分 区 与 启动 分 区 。 

系统 在 将 数据 存储 到 RAID-5 卷 时 ， 会 将 数据 拆 成 等 量 的 64KB， 例 如 由 5 个 磁盘 组 成 

的 RAID-5 卷 ， 系 统 会 将 数据 拆 成 每 4 个 64KB 为 一 组 ， 每 一 次 将 一 组 4 个 64KB 的 数据 

与 其 奇偶 校 验 数 据 写 入 5 个 磁盘 内 ， 一 直到 所 有 的 数据 都 写 入 到 磁盘 为 止 。 

奇偶 校 验 数据 并 不 是 存储 在 固定 卷 上 ， 而 是 依 序 分 布 在 每 个 卷 内 ， 例 如 第 一 次 写 入 

时 是 存储 在 磁盘 0、 第 二 次 是 存储 在 磁盘 1]、…… 、 依 序 类 推 ， 存 储 到 最 后 一 个 磁盘 

后 ， 再 从 磁盘 0 开始 存储 。 

站 当 某 个 磁盘 故障 时 ， 系 统 可 以 利用 奇偶 校 验 数据 推算 出 故障 磁盘 内 的 数据 ， 让 系统 
能 够 继续 读 取 RAID-5 磁 盘 区 内 的 数据 ， 也 就 是 说 RAID-5 磁 盘 区 具备 容错 功能 ， 不 过 
只 有 在 一 个 磁盘 故障 的 情况 下 ，RAID-5 卷 才 提 供 容错 功能 ， 如 果 同 时 有 多 个 磁盘 故 
障 的 话 ， 系 统 将 无 法 读 取 RAID-5 卷 内 的 数据 。 


区 区 区 


RAID-6 具 备 在 2 个 磁盘 故障 的 情况 下 仍然 可 以 正常 工作 的 能 力 。 


半 在 写 入 数据 时 必须 花费 时 间 计 算 奇 偶 校 验 数 据 ， 因 此 其 写 入 效率 一 般 来 说 会 比 镜像 
卷 差 〈( 视 RAID-5 磁 盘 成 员 的 数量 多 少 而 异 ) 。 不 过 读 取 效 率 比 镜像 卷 好 ， 因 为 它 会 
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同时 从 多 个 磁盘 来 读 取 数 据 ( 读 取 时 不 需要 计算 奇偶 校 验 数据 ) 。 如 果 其 中 一 不 大 
盘 故 障 的 话 ， 此 时 虽然 系统 仍然 可 以 继续 读 取 RAID-5 卷 内 的 数据 ， 不 过 因为 必须 未 
用 不 少 系统 资源 (CPU 时 间 与 内 存 ) 来 计算 故障 磁盘 的 内 容 ， 因 此 效率 会 降低 。 

久 RAID-5 卷 的 磁盘 空间 有 效 使 用 率 为 (7-1 ) /2，71 为 磁盘 的 数量 。 如 果 利 用 5 个 磁盘 来 
建立 RAID-5 考 ， 则 必须 利用 1/5 的 磁盘 空间 来 存储 奇偶 校 验 信息 ， 因 此 磁盘 空间 有 效 
使 用 率 为 445， 因 此 每 一 个 兆 字 节 的 单位 存储 成 本 比 镜 像 卷 低 〈 其 磁盘 空间 有 效 使 用 
率 为 112 ) 。 

匀 RAID-5 卷 一 旦 被 建立 好 后 ， 就 无 法 再 被 扩展 〈extend ) 。 

浊 Windows Server 2016、Windows Server 2012 (R2 ) 、Windows Server 2008 (R2 ) 等 
服务 器 级 别 的 系统 均 支 持 RAID-5 卷 。 

当 RAID-5 卷 可 被 格式 化 成 NTFS 或 ReFS 格 式 。 

习 整个 RAID-5 卷 是 被 视 为 一 体 的 ， 无 法 将 其 中 任何 一 个 成 员 独 立 出 来 使 用 ， 除 非 先 将 
整个 RAID-5 卷 删除 。 


建立 RAID-5 卷 


下 面 通 过 将 图 13-3-32 中 3 个 未 分 配 空间 组 成 一 个 RAID-$ 卷 的 方式 来 说 明 如 何 建立 RAID5 
卷 。 当 前 这 3 个 空间 的 大 小 不 同 ， 不 过 我 们 会 在 建立 卷 的 过 程 中 从 各 磁盘 内 选用 相同 的 容量 
(以 8GB 为 例 ) 。 

捧 计算 i 巷 理 名 及 
4 中 | 十 别 | 目 辣 | 产 X 日 层 郧 怕 
CR]CF 开 CE E=ICED 直 3 


二 (C 〇 NTFS 。” 状 赤 良好 ( 司 动 页 西 文件 , 故 央 特 信 ) 39.51 GB 23.80GB 604% 
二 Drawings (Ej) NTFS 状态 良好 80068 797G8B 100% 
大 系 统 辟 圈 。 。 逢 单 动态 “NTFS ”状态 让 好 (系统 ) 500 MB 104 MB 。 21 和 % 更 多 损 作 上 


13-3-32 


STEP 回 选中 图 13-3-32 中 的 未 分 配 空间 ( 例如 磁盘 1 的 未 分 配 空间 ) 右 击 Q 新 建 RAID-5 卷 。 
STEP 回 。 出 现 欢迎 使 用 新 建 RAID-5 卷 向 导 界面 时 单 击 请 国 昌 按钮。 
STEP 图 “在 图 13-3-33 中 分 别 从 磁盘 0、1、2 选 取 8192MB ( 8GB ) 的 空间 ， 也 就 是 这 个 
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RAID-5 袜 盘 区 的 总 容量 应 该 是 24576MB ( 24 GB ) ， 不 过 需要 1/3 的 容量 ( 8GB ) 
用 来 存储 同位 数据 ， 因 此 实际 可 存储 数据 的 有 效 容量 为 16384MB ( 16GB ) 。 完 成 


如 果 某 个 磁盘 内 没有 一 个 超过 8 GB 的 连续 可 用 空间 ， 但 是 有 多 个 不 连续 的 未 分 配 空间 ， 
其 总 容量 足够 8 GB 的 话 ， 那 么 此 磁盘 也 可 以 成 为 RAID-5 卷 的 成 员 。 


13333 


P 四 在 图 13- 3.34 中 指定 一 个 驱动 器 号 来 代表 此 RAID-5 郑 请 单 击 国 呈 名 扩 包 ( 此 界面 的 
详细 说 明 可 参阅 图 13-2-8 的 说 明 这 


图 13-3-34 


STEP 回 ”在 图 13-3-35 中 输入 与 选择 适当 的 设置 值 后 单 击 讨 测 深 钮 ( 此 界面 的 详细 说 明 可 
参阅 图 13-2-9 的 说 明 ) 。 
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图 13-3-35 


STEP 回 。 出 现 正在 完成 新 建 RAID-5 卷 向 导 界 面 时 单 击 殴 误 按 钮 。 
STEP 贺 ”之 后 系统 会 开始 建立 此 RAID-5 卷 。 图 13-3-36 为 完成 后 的 界面 ， 其 中 的 F: 磁盘 就 是 


RAID-5 卷 ， 分 布 在 3 个 磁盘 内 ， 且 每 一 个 磁盘 的 容量 都 相同 ( 8GB ) 。 


坑 计算 机 答 理 
文件 月。 报 fFIA) 得 者 (V) 
中南 看 国 | 二 世 下 - 


16.00 GB 1594 GB 100%% 
500 MB 104 MB 21%% 


修复 RAID-5 卷 

RAID-5 卷 成 员 之 中 如 果 有 一 个 磁盘 故障 ， 虽 然 系统 还 能 够 读 取 RAID-5 卷 内 的 数据 ， 但 
是 却 丧 失 了 容错 功能 ， 此 时 我 们 应 该 尽快 修复 RAID-$ 卷 ， 以 便 继续 提供 容错 功能 。 这 里 假设 
图 13-3-36 中 RAID-5$ 卷 F: 成 员 之 中 的 磁盘 2 出 现 故障 ， 以 此 来 说 明 如 何 修复 RAID-5S 卷 。 


STEP 贺 ”关机 后 从 计算 机 内 取出 故障 的 磁盘 2。 


图 srs 
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STEP 加 将 新 的 磁盘 安装 到 计算 机 内 ， 重 新 启动 计算 机 。 

STEP 回 。 单 击 左下 角 开始 图 标 田 9Windows 管理 工具 人 计算 机 管理 2 存储 人 磁盘 管理 。 

STEP 四 。 在 自动 跳出 的 图 13-3-37 中 选择 对 新 安装 的 磁盘 2 初始 化 、 选 择 磁 盘 分 区 形式 后 单 击 
副 量 按钮 ( 如 果 未 自动 跳出 此 界面 的 话 : 【 选中 新 磁盘 右 击 3 联 机 3 选中 新 磁盘 右 
击 3 初 始 化 磁盘 】) 。 


STEP 回 ”之 后 将 出 现 图 13-3-38， 其 中 的 磁盘 2 为 新 安装 的 磁盘 ， 而 原先 RAID-5 磁 盘 区 内 的 
故障 磁盘 2 被 显示 在 界面 的 最 下 方 ( 上 面 有 丢失 两 个 字 ) 。 


CNCIEEEELE 


13-3-38 


STEP 回 。 如 图 13-3-39 所 示 【 选中 带 有 失败 的 重复 字样 的 任何 一 个 F: 磁盘 右 击 纪 修 复 卷 】。 
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和 中 | 在 罗 日 嘲 | 天 X 电 刘 最 一 


图 13-3-39 


STEP 贺 。 在 图 13-3-40 中 选择 新 安装 的 磁盘 2， 它 会 取代 原先 已 损毁 的 磁盘 ， 以 便 重新 建立 
RAID-5 卷 。 完 成 后 单 击 病 国 技 钮 。 


13-3-40 


STEP 回 。 如 果 该 磁盘 尚未 被 转换 为 动态 磁盘 的 话 ， 会 出 现 如 图 13-3-41 的 界面 ， 此 时 单 击 
天 加 吕 按钮 将 其 转换 为 动态 磁盘 。 


STEP 加 ”之 后 系统 会 利用 原 RAID-5 卷 中 其 他 正常 磁盘 的 内 容 将 数据 重 构 到 新 磁盘 内 ( 同 
步 ) ， 这 个 操作 需要 花费 比较 长 的 时 间 ， 完 成 后 ， 如 图 13-3-42 所 示 E:， 又 恢复 为 正 
常 的 RAID-5 卷 。 


国 xeo 
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疝 ”3951G8 2381GB 60% 
800GB 797G8 100% 
1600GB 15394GB 100% 
500MB 104MB 21% 
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13.4 移动 磁盘 


当 将 基本 磁盘 移动 到 另外 一 台 Windows Server 2016 计 算 机 后 ， 正 常情 况 下 系统 会 自动 检 
测 到 这 个 磁盘 、 自 动 赋 予 驱 动 器 号 ， 可 以 直接 使 用 这 块 磁盘 。 阁 因 故 还 无 法 使 用 此 磁盘 的 
话 ， 则 可 能 还 需要 执行 联机 操作 : 【 单 击 左下 角 开 始 图 标 困 QWindows 管理 工具 人 计算 机 管 
理 纺 存储 幻 磁 盘 管 理 3 选 中 这 块 磁 盘 右 击 2 联 机 】。 


如 果 在 磁盘 管理 界面 中 看 不 到 这 块 磁盘 ， 可 以 尝试 【 选择 操作 菜单 2 重新 扫描 磁盘 】。 
如 果 还 是 没有 出 现 这 个 磁盘 ， 可 以 尝试 【打开 设备 管理 器 3 选中 磁盘 驱动 器 右 击 2 扫描 
硬件 改动 ] 。 


当 将 计算 机 内 的 动态 磁盘 移动 到 另外 一 台 Windows Server 2016 计 算 机 后 ， 这 块 动态 磁盘 
会 被 视 为 外 部 磁盘 〈foreign disk) 。 如 果 这 块 磁 盘 会 如 图 13-4-1 所 示 显 示 为 脱 机 的 话 ， 请 先 
【选中 它 右 击 仿 联机 】。 


图 13-4-1 


然后 【如 图 13-4-2 所 示 选 中 这 个 外 部 磁盘 右 击 2 导入 外 部 磁盘 3 单 击 辆 泣 按 钮 】 . 


国 xs2 
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所 二 下 也 三公 7 


了 工 正 开 = 


13-4-2 中 外 部 磁盘 组 内 只 有 一 个 磁盘 ， 如 果 是 同时 将 多 个 动态 磁盘 移动 到 另外 一 合计 


算 机 的 话 ， 则 界面 中 的 外 部 磁盘 组 内 会 有 多 块 磁盘 ， 此 时 可 以 通过 单 击 荆 王 按钮 来 查看 
详细 的 磁盘 信息 。 


移动 到 另外 一 台 计 算 机 后 ， 动 态 卷 将 保留 使 用 原 驱 动 器 号 。 若 驱动 器 号 已 经 在 另外 一 台 
计算 机 内 被 占用 ， 则 将 被 分 配 到 下 一 个 可 用 的 驱动 器 号 。 如 果 此 卷 原 来 并 没有 驱动 器 号 ， 则 
移动 到 奶 外 一 台 计 算 机 后 仍然 不 会 有 驱动 器 号 。 

如 果 要 移动 跨 区 卷 、 带 区 卷 、 镜 像 卷 、RAID-5 卷 的 话 ， 需 要 将 其 所 有 成 员 都 一 起 移动 ， 
否则 移动 后 ， 在 另外 一 台 计 算 机 上 是 无 法 访问 这 些 卷 内 数据 的 。 


13.5 存储 空间 


存储 空间 〈Storage Spaces) 让 我 们 能 够 将 连接 在 Windows Server 2016 服 务 器 的 多 个 物理 
硬盘 组 合 在 一 起 来 使 用 ， 类 似 于 JBOD (Just a Bunch of Disks) 的 硬盘 空间 使 用 优化 功能 ， 但 
是 存储 空间 又 具备 容错 与 自我 修复 能 力 ， 类 似 于 RAID， 但 是 却 又 与 RAID 不 同 。 

在 存储 空间 的 架构 之 下 ， 存 储 池 是 多 块 物理 硬盘 的 组 合 ， 如 图 13-5-1 所 示 中 的 存储 池 中 
共有 5 个 物理 硬盘 ， 其 容量 分 别 为 ITB、750GB、750GB、1TB、750GB,， 也 就 是 说 此 存储 池 
的 容量 为 4.25STB (各 硬盘 容量 的 总 和 ) 。 下 面 将 针对 此 图 做 详细 的 说 明 。 
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在 虚拟 磁盘 内 建立 卷 ， 并 为 卷 分 配 驱 动 器 号 


配置 类 型 为 2-Way 
从 存储 池 中 的 各 物理 5 jemirror( 双 向 镜像) 的 
硬盘 中 抓 取 了 区 组 成 /人 500GB 虚 拟 磁 盘 
Simple 虚 拟 磁 盘 eee 二 全 


成 2-way mirror 虚 拟 磁 盘 


4 物理 硬盘 1TB 
4 物理 硬盘 750GB 
4- 物理 硬盘 750G8 
全 物理 硬盘 1TB 
4- 物理 硬盘 750GB 
apm 区 


3-way mirror 庶 拟 
人 RDIPPRIP 和 让 全 全 人 人 n 


芽 人 -wmem | 


配置 类 型 为 3-way \ 从 各 物理 硬盘 中 抓 取 @ 区 
] rmiror( 三 向 久生) 的 组 成 Parity 虚 拟 磁盘 
500GB 虚 拟 磁 盘 


汪汪 生 和 有 于 村 和 于 


攻 Eee 


图 13-5-1 


4 配置 类 型 为 Parity( 奇 偶 
校 验 ) 的 500GB 虚 拟 磁 盘 


我 们 需要 先 在 存储 池内 建立 虚拟 磁盘 〈virtual disk) ， 接 着 在 虚拟 磁盘 内 建立 着 
(volume) ， 然 后 赋予 卷 一 个 驱动 器 号 ， 最 后 通过 驱动 器 号 来 访问 其 中 存储 的 数据 。 虚 拟 磁 
盘 分 为 以 下 几 种 配置 类 型 : 


妆 Simple (简单 ) : 其 数据 跨越 各 硬盘 ， 主 要 功能 是 扩大 磁盘 容量 ， 但 会 降低 数据 存 
储 的 可 靠 度 ( 因为 只 要 其 中 一 个 硬盘 故障 ， 就 无 法 访问 此 卉 拟 磁 盘 内 的 所 有 数 
据 ) 。 存 储 池 内 至 少 需要 有 一 个 硬盘 ， 才 可 以 建立 Simple 虚 拟 磁 盘 。 
例如 ， 当 我 们 在 图 13-5-1 中 的 存储 池内 建立 一 个 容量 为 500GB 的 Simple 虚 拟 磁 盘 时 ， 
系统 会 自动 从 每 一 个 硬盘 各 抓 取 适 当 容 量 (标记 @ 的 区 域 ， 本 范例 假设 各 硬盘 都 取 
相同 容量 的 100GB， 但 并 非 一 定 都 会 选取 相同 的 容量 ) 来 组 成 此 虚拟 磁盘 。 

阅 2-Way Mirror (双向 镜像 ) : 同一 份 数 据 会 存储 两 份 ， 并 且 是 跨越 各 硬盘 (并非 仅 
存储 在 两 个 硬盘 中 ) 。 两 份 相同 的 数据 可 以 提高 数据 存储 的 可 靠 程度 ， 但 也 因此 会 
占用 2 倍 硬盘 空间 、 降 低 磁 盘 实 际 可 存储 数据 的 容量 。 存 储 池内 至 少 需要 2 块 硬盘 ， 
才 可 以 建立 2-Way Miirror 虚拟 磁盘 ， 它 仅 可 以 容忍 一 块 硬盘 故障 ， 也 就 是 在 一 块 硬 
盘 故 障 的 情况 下 ， 仍 然 可 以 正常 读 取 磁 盘 内 的 数据 。 
例如 ， 当 我 们 在 图 13-5-1 中 的 存储 池 中 建立 一 个 容量 为 500GB 的 2-Way Mirror 虚 拟 磁 
盘 时 ， 系 统 会 自动 从 每 一 个 硬盘 各 抓 取 适 当 容 量 (本 范例 为 标记 @ 的 200GB 区 域 ) 
来 组 成 此 虚拟 磁盘 。 虽 然 我 们 是 建立 容量 为 300GB 的 2-Way Mirror 虚 拟 磁 盘 ， 但 是 
因为 同一 份 数据 会 存储 2 份 ， 故 实际 占用 硬盘 的 空间 为 1000GB (500GB 的 2 倍 ) 。 

汉 3-Way Miirror (三 向 镜像 ) : 它 与 2-Way MIirror 类 似 ， 但 是 同一 份 数据 会 存储 3 份 ， 


国 :ss 
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因此 数据 存储 的 可 靠 程度 更 高 ， 但 占用 更 多 硬盘 空间 。 存 储 池内 至 少 需要 5 块 硬盘 ， 
才 可 以 建立 3-Way Mirror 虚拟 磁盘 ， 它 可 以 容忍 2 块 硬 盘 故 障 。 

在 图 13-5-1 中 容量 为 500GB 的 3-Way Mirror 虚 拟 磁盘 是 由 标记 四 的 区 域 所 组 成 的 ， 因 
为 同一 份 数据 会 存储 3 份 ， 故 实际 占用 硬盘 的 空间 为 1300GB (500GB 的 3 倍 ) 。 

Parity (奇偶 校 验 ) : 其 “数据 +Parity” 跨 越 各 硬盘 ， 通 过 Parity 可 以 提高 数据 存储 
的 可 靠 度 ， 但 也 因为 Parity 会 占用 硬盘 空间 ， 故 会 降低 磁盘 实际 可 存储 数据 的 容量 。 
存储 池内 至 少 需要 3 块 硬盘 ， 才 可 以 建立 Parity 上 庶 拟 磁盘 ， 它 仅 可 以 容 忍 一 块 硬盘 故 
障 。 

在 图 13-$-1 中 容量 为 500GB 的 Parity 虚 拟 磁 盘 是 由 标记 @ 的 区 域 所 组 成 的 ， 因 为 需要 

存储 Parity， 故 实际 占用 硬盘 的 容量 比 500GB 多 。 


若 要 将 数据 存储 到 虚拟 磁盘 的 话 ， 则 还 需要 在 虚拟 磁盘 内 建立 卷 〈volume) ， 然 后 赋予 
| 卷 一 个 驱动 器 号 或 将 其 挂 载 到 一 个 空 文件 夹 之 下 ， 接 着 就 可 以 通过 驱动 器 号 或 文件 夹 来 访问 
| 其 中 的 数据 了 。 例 如 ， 我 们 在 图 13-5-1 中 的 Simple 虚 拟 磁 盘 内 建立 了 2 个 驱动 器 号 分 别 是 E: 与 
| F: 的 卷 。 


假设 Windows Server 2016 服 务 器 内 安装 了 3 块 容量 各 为 5900GB 的 物理 硬盘 〈 不 含 安装 操作 
系统 的 硬盘 ) ， 而 我 们 要 如 图 13-5-2 所 示 建 立 包含 这 3 个 物理 硬盘 的 存储 池 、 在 此 存储 池内 建 
立 一 个 2-Way Mirror 虚 拟 磁盘 〈 假 设 容量 为 200GB， 但 硬盘 实际 占用 量 为 400GB) 、 在 此 虚 
| 拟 磁 盘 内 建立 2 个 驱动 器 号 分 别 是 E: 与 F: 的 卷 《假设 容量 分 别 是 120GB 与 80GB) 。 下 面 使 用 
Hype-V 虚 拟 机 来 练习 ， 实 际 硬 盘 需要 有 400GB 的 可 用 空间 。 


在 虚拟 磁盘 内 建立 卷 ， 卷 的 驱动 器 号 分 别 是 E 和 所 


] 4 配置 类 型 为 2-way mirror ( 双 
向 镜像 ) 的 200GB 虚 拟 磁 盘 


从 各 物理 硬盘 抓 取 适 当 容 量 ( 共 
400GB) 组 成 2-way mirror 虚 拟 磁盘 


存储 池 
(MyStoragePool) 


图 13-5-2 


 STEP 贺 。 以 系统 管理 员 身 份 登录 、 出 现 服务 器 管理 器 界面 后 单 击 图 13-5-3 中 的 文件 和 存储 服 
务 。 


385 国 
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@ 配置 此 本 地 服务 器 
2 ”添加 角色 和 功能 
图 13-5-3 
STEP 回 如 图 13-5-4 所 示 【 单 击 左 侧 存储 池 义 单 击 右 侧 存储 池上 方 的 任务 2 新 建 存储 池 】。 
[本 
| 亲 国 “ = 
| 有 下 才 Ta 站 
本 磁盘 | 
in IE 2 3 了 管用 本 用 
j | ，windows storage 四 
工作 文件 顽 
民 -- 一 rrc et 】 
ER | 攻 Ez 8 5C| | 
术 汪 于 人 机 本 再 玫 记 页 乾 守 A 丰 在 六 他 直 5 3 状 去 、 实 量 
|。 veor vonviascianel 500ce 
图 13-54 


默认 已 内 置 一 个 名 称 为 Primordial 的 原始 存储 池 ， 且 所 安装 的 3 个 硬盘 ( 位 于 图 13-5-4 右 
下 角 ) 自动 位 于 此 存储 池内 。 


| 到 新建 存 针 池 认 导 
指定 存储 池 名 称 和 子 系统 
开始 之 前 SA [wystomaepeol 本 
| 物理 航 盘 
| 字 司 R 子 妥 搞 原 邮 地 
上 Server3 Windows Storage Primordial 


演 386 
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STEP 回 ”在 图 13-5-6 中 义 选 要 加 入 此 存储 池 的 硬盘 后 单 击 去 钮 ( 图 中 勾 选 所 有 的 3 块 


访 新 建 存 储 池 向 导 


选择 存储 池 的 物理 磁盘 


如 果 将 某 个 物理 硬盘 右 侧 的 分 配 字段 改 为 选择 热 备 用 的 语 ， 则 该 硬盘 平常 处 于 备用 状 
态 ， 一 旦 存储 池 中 有 其 他 硬盘 故障 的 话 ， 此 备用 硬盘 就 会 立即 上 线 取代 故障 的 硬盘 ， 继 
续 提 供 服务 。 


STEP 回 。 出 现 确认 选择 界面 时 单 击 辆 普 按 钮 ， 完 成 后 单 击 圈 测 # 
STEP 加 ”如 图 13-5-7 所 示 的 MyStoragePool 为 我 们 所 建立 的 存储 池 ， 界 面 右 下 角 为 存储 池内 
的 3 块 硬盘 。 


匠 埋 继 企 可 
愉 厅 可 更 的 入 天 得 卫 - 绩 - seveR Ht 的 Mystoregepool 四 二 
不配 TEA 本 站 
| sa | 
| VMware VMware virtual 5 (Server3 500 GB 
| VMware VMware Virbual 5 5erver3 5006G8 } | 
图 13-5-7 


STEP 回 。” 接 下 来 在 此 存储 池内 建立 虚拟 磁盘 ， 请 单 击 图 13-5-7 左 下 方 虚拟 磁盘 区 块 下 的 标示 
区 域 ( 或 单 击 该 区 块 右上 角 任 务 2 新 建 虚 拟 磁 盘 ) 。 
STEP 圆 ”在 图 13-5-8 中 选择 存储 池 MyStoragePool 后 单 击 确定 
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图 13-5-8 


STEP 加 出 现 开始 之 前 界面 时 单 击 读 拉 钮 。 
STEP 上 在 图 13-5-9 中 为 此 虑 拟 磁盘 设置 名 称 后 单 击 呈 国 加 以 钮 。 


指定 虚拟 磁盘 名 称 


13-5-9 


STEPE 加 在 指定 机 箱 复原 界面 中 直接 单 击 国生 尖 拉 钮 。 
STEP 加。 如 图 13-5-10 所 示 选 择 Mirror 后 单 击 户 汪 坟 钮 。 


瑟 新 建 志 拟 磁盘 向 导 


选择 存储 数据 布局 


开始 之 前 


图 13-$-10 


若 服务 器 内 有 5 个 ( 含 ) 以 上 物理 硬盘 的 话 ， 则 接 下 来 会 出 现 选择 双向 镜像 或 三 向 镜像 
的 界面 。 本 例 只 有 3 块 硬盘 ， 故 系统 自动 将 其 设置 为 双向 镜像 ( 2-Way Mirror ) 。 


STEP 加 在 图 13-5-11 中 选择 适当 的 选项 后 单 击 上 国 扩 钮 。 
妆 精简 (thin) : 虚拟 磁盘 需要 使 用 磁盘 空间 时 才 会 实际 配置 空间 给 虚拟 磁盘 。 例 如 我 


国 xss 
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们 所 建立 的 200GB 的 2-Way Mirror 虚 拟 磁 盘 ， 其 会 占用 400GB 空 间 ， 但 是 系统 并 非 
现在 就 一 次 配置 400GB 的 磁盘 空间 给 此 虚拟 磁盘 ， 而 是 需要 存储 数据 到 此 应 拟 磁盘 
时 再 配置 所 需 空间 。 
精简 方式 所 建立 的 虚拟 磁盘 使 用 容量 可 以 大 于 实际 硬盘 的 容量 ， 例 如 硬盘 总 容量 为 
1$00GB， 但 是 却 可 建立 容量 为 1000GB 的 2-Way Mirror 虚 拟 磁 盘 ， 它 需 使 用 2000GB 
硬盘 空间 ， 缺 少 的 $00GB 以 后 需要 使 用 时 再 通过 添加 物理 硬盘 到 存储 池 的 方式 来 补 
足 即 可 。 

旬 固 定 (fixed ) : 它 会 一 次 配置 足够 的 磁盘 空间 给 虚拟 磁盘 。 例 如 我 们 所 建立 的 为 容 
量 200GB 的 2-Way Mirror 虚 拟 磁 盘 ， 它 需 使 用 400GB 硬 盘 空 间 ， 系 统 会 一 次 配置 
400GB 的 磁盘 空间 给 虚拟 磁盘 ， 故 此 时 必须 有 足够 的 硬盘 空间 。 


指定 设置 类 型 


开始 之 前 
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STEP 上 加 在 图 13-5-12 中 输入 虚拟 磁盘 的 大 小 后 单 击 调 有 加 塘 钮 。 注 意 此 处 是 数据 存储 容 
量 ， 而 不 是 硬盘 使 用 量 ， 例 如 200GB 表 示 可 存储 200GB 的 数据 ;但 硬盘 空间 实际 使 
用 量 为 400GB ( 因 所 建立 的 是 2-Way Miirror 虚 拟 磁 盘 ) 。 注 意 不 要 选 错 容量 的 单 
1 


指定 虚拟 磁盘 大 小 
开始 之 前 | “” 国 指定 大 4 小: 
虚拟 磁盘 名 称 
机 箱 感知 | 


存 信和 数据 布局 


图 13-5-12 


389 辆 
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若 要 将 硬盘 内 的 所 有 可 用 空间 都 拿 来 使 用 的 话 ， 请 选择 最 大 大 小 ( Maximum size ) ， 以 
本 范例 来 说 ， 若 选择 此 选项 ， 则 它 会 建立 750GB 的 虚拟 磁盘 ( 总 使 用 量 为 3 个 硬盘 的 总 
和 1500GB ) 。 


STEPE 回 出现 确认 选择 界面 时 单 击 是 蕙 护 钮 。 
STEP 8 本 。 出 现 查看 结果 界面 时 单 击 册 加 按 钮 ， 它 会 自动 启动 新 建 卷 向 导 。 
STEP E 回 出 现 开始 之 前 界面 时 单 击 傅 汪 测 坟 钮 。 

STEP 四 在 图 13-5-13 中 直接 单 击 请 站 扩 钮 。 


选择 服务 器 和 磁盘 


13.5.13 
STEP E 四 在 图 13-5-14 中 输入 卷 的 大 小 ( 假设 是 120GB ) 后 单 击 请 和 国 扶 钮 。 


指定 卷 大 小 
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STEP E 国 。 如 图 13-5-15 所 示 指定 驱动 器 号 E: 给 此 卷 后 单 击 国 技 钮 。 


第 13 章 磁盘 系统 的 管理 有 得 


到 # 二 sm ES 
分 配 到 驱动 器 号 或 文件 夹 
选择 是 否 棕 卷 分 配 到 驱动 器 号 或 文 , 卷 和 胖 示 为 红 动 串 中 的 一 个 
开始 之 前 SS 件 夫 。 检 卷 分 瑟 有 天文 梓 夫 时 文件 
服务 就 和 磋 盘 
大 小 IE 
国 至 动 古 St |E >| 
文件 系统 设置 RN 六 人 交 ( SS 全 
re 王家 sea = - “] 醒 5 到 
〇 不 分 本 38 动 路 号 或 文件 夫 (Dj。 


13-5-15 
STEP 四。 依照 图 13-5-16 设 置 后 单 击 戎 国 加 坟 钮 。 
孔 新 建 卷 向 导 
选择 文件 系统 设置 
开始 之 前 文件 系统 (中 ]: ESSERREESERSY| 


Fn 


大 小 和 
卷 标 仙 ]: Database 
驱动 器 号 或 文件 志 ] 


RE 天。 呈 =eex*=ravwo 
确认 对 于 在 客户 读 计 算 机 上 运行 的 某 些 16 位 应 用 程序 , 要 求 使 用 短文 件 名 (8 个 字符 , 以 及 3 个 字 
符 的 扩展 名 ) , 但 这 样 会 合 文 件 运行 速度 变 惕 。 


13-5-16 


STEP 园 出 现 确认 选择 界面 时 单 击 翻 蕙 按钮 ， 完 成 后 单 击 山 测 塘 钮 。 

STEP 加 ”如 图 13-5-17 所 示 继 续 添加 第 2 个 卷 ， 为 该 卷 指定 驱动 器 号 F: ( 假设 磁盘 驱动 器 卷 标 
名 称 为 Archive ) ， 接 下 来 步骤 与 前 面相 同 ， 不 再 重复 ( 从 图 13-5-17 中 可 看 到 刚才 
所 建立 的 E: ) 。 


焉 区 苇 ] 

由 | 人 中 @@= 加 5 =: 

i 至 目 矶 局 生 杖 起 。 浙 量 未 9 估 分 区 只 亲 “已 攻 闪 “于 所 近世 三 汉王” 友和 

有 EE3 闪 玫 Server3 吕 | 
iSCSI 0 医 宙 60068 00085 MBR SAS VMware VMware -| “时 


| 全 an 


图 13-5-17 
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STEP 固 ”图 13-5-18 中 显示 完成 后 的 2 个 卷 E: 与 F:。 如 图 13-5-19 所 示 ， 在 文件 资源 管理 器 中 也 


可 以 看 到 E: 与 F: 这 两 个 磁盘 。 


图 13-5-18 


RE 


NE 797 G8 可 用 , 世 
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STEP 园 接 下 做 一 个 简单 实验 ， 以 验证 2-Way Miirror 的 功能 是 否 发 挥 作 用 。 在 E: 内 建立 一 


个 文件 ， 随 意 输 入 一 些 数 据 。 


STEP 将 服务 器 关机 ， 删 除 属于 存储 池 的 一 个 物理 硬盘 ， 重 新 启动 。 
STEP 较 登录 后 ， 在 服务 器 管理 器 内 可 看 到 如 图 13-5-20 所 示 的 警告 信息 ， 表 示 存 储 池内 的 


国 >: 


硬盘 有 错误 。 但 是 在 图 13-5-21 中 的 虚拟 磁盘 与 其 中 的 卷 E: 与 F: 都 没有 错误 ， 而 且 
通过 文件 资源 管理 器 仍然 可 以 正常 访问 其 中 的 文件 。 
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他 lm 全 


| 
| 上 次 对 时 避 为 201711211104023 


图 13-5-20 


码 色 
站 有 ssi:*: 个 


二 万 Bi 
各 存 竺 池 数目 ” 虑 招 碰 瘟 状态 宁 侠 未 分 而 分 区 只 这 局 和 了 子 和 伟 总 线 缮 登 ”名 季 
共事 4 Seryer3 (DZ 
| i5CSI 0 MBR SAS VMware VMware Vi 
| 


ES 
上 次 讶 新 9 有 汶 201771271T 009.09 


窗 
检 关 佑 | 共 2 个 


| 实时 146TB | 


图 13-5$-21 


如 果 指 定 热 备 用 硬盘 的 话 ， 此 时 该 硬盘 就 会 立即 上 线 取代 故障 硬盘 ， 以 便 继续 提供 2- 
Way Mirror 虚 拟 磁 盘 功能 。 


第 14 章 ”利用 WSUS 部 署 更 新 程序 


WSUS (Windows Server Update Services) 用 于 将 Microsoft 产 品 的 最 新 更 新 程序 部 署 到 
企业 内 部 计算 机 。 


涪 WSUS 概 述 
站 WSUS 的 系统 需求 

当 WSUS 的 特性 与 工作 方式 
沾 安装 WSUS 服 务 器 

浊 设置 客户 端的 自动 更 新 
半 审批 更 新 程序 

涪 自 动 更 新 的 组 策略 设置 


SEA 
ju ER 
村 恨 咯 区 训 全 二 


这 RAR 
RNESRRSS 
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14.1 WSUS 概 述 


为 了 让 用 户 的 Windows 系 统 与 其 他 Microsoft 产 品 能 够 更 安全 、 更 稳定 、 功 能 更 强 ， 因 此 
Microsoft 会 不 定期 在 网 站 上 释放 出 最 新 的 更 新 程序 〈 例 如 Update、Service Pack 等 ) 供用 户 下 
载 与 安装 ， 而 用 户 可 以 通过 以 下 方式 来 取得 这 些 更 新 程序 ， 

站 手动 连接 Microsoft Update 网 站 。 

阅 通过 Windows 系 统 的 自动 更 新 功能 。 

上 述 两 种 方式 对 企业 内 部 来 说 ， 可 能 会 有 以 下 的 缺点 : 

外 影响 网 络 效率 : 如 果 企 业内 部 每 一 台 计 算 机 都 自行 上 网 更 新 ， 将 会 增加 对 外 网 络 的 

负担 、 影 响 对 外 连接 的 网 络 效率 。 

站 与 现 有 软件 相互 干扰: 如 果 企 业内 部 所 使 用 的 软件 与 更 新 程序 有 冲突 ， 则 用 户 自行 

下 载 与 安装 更 新 程序 可 能 会 影响 该 软件 或 更 新 程序 的 正常 工作 。 

WSUS (Windows Server Update Services) 是 一 个 可 以 解决 上 述 问 题 的 产品 ， 例 如 图 14-1-1 
中 企业 内 部 可 以 通过 WSUS 服 务 器 来 集中 从 Microsoft Update 网 站 下 载 更 新 程序 ， 并 在 完成 这 
些 更 新 程序 的 测试 工作 、 确 定 对 企业 内 部 计算 机 没有 不 良 影响 后 ， 再 通过 网 管 人 员 的 审批 程 
序 (approve) 将 这 些 更 新 程序 部 署 到 客户 端的 计算 机 上 。 


internmet 
及 


WSUS 服 务 器 


14-1-1 


14.2 WSUS 的 系统 需 》 


以 图 14-1-1 的 基本 WSUS 架 构 来 说 ，WSUS 服 务 器 与 客户 端 计算 机 都 必须 满足 适当 的 条 件 
后 才能 获得 WSUS 的 好 处 。 可 以 在 Windows Server 2016 内 通过 添加 角色 的 方式 来 安装 WSUS。 
安装 WSUS 之 前 ， 建 议 先 安装 好 以 下 组 件 ; 


匀 Microsoft Report Viewer Redistributable 2012: WSUS 服 务 器 需要 通过 它 来 制作 各 种 
不 同 的 报告 ， 例 如 更 新 程序 状态 报告 、 客 户 端 计算 机 状态 报告 与 同步 处 理 结果 报告 
等 。 


3 国 
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浊 Microsoft System CLR Types for SQL Server 2012: 安装 Microsoft Report Viewer 
Redistributable 2012 前 需要 先 安 装 Microsoft System CLR Types for SQL Server 2012， 


WSUS 服 务 器 的 系统 分 区 ( system partition ) 与 安装 WSUS 的 磁盘 分 区 的 文件 系统 都 必须 
是 NTEFS。 


可 以 利用 WSUS 服 务 器 内 署 的 Windows Server 更 新 服务 管理 控制 台 (WSUS 管 理 控制 
台 ) 来 执行 WSUS 服 务 器 的 管理 工作 。 也 可 以 在 其 他 计算 机 上 来 管理 WSUS 服 务 器 ， 不 过 需 
要 在 这 些 计算 机 上 安装 「Windows _Server 更 新 服务 管理 控制 台 」 ， 以 Windows Server 2016 与 
Windows 10 为 例 : 


站 Windows Server 2016: 可 以 通过 服务 器 管理 器 的 添加 角色 和 功能 来 安装 。 选 择 功能 
中 的 【远程 服务 器 管理 工具 仿 角 色 管 理工 具 人 Windows Server 更 新 服务 工具 〗】， 安 装 ” 
完成 后 【 单 击 左下 角 开始 图 标 轩 2Windows 管 理工 具 人 Windows Server 更 新 服务 】. 

汉 Windows 10: 需要 到 微软 网 站 下 载 与 安装 Remote Server Administration Tools fr 
Windows 10 ( Windows 10 的 远程 服务 器 管理 工具 ) ， 安 装 完成 后 【 单 击 左下 角 开 始 
图 标 园 Windows 管 理工 具 令 Windows Server 更 新 服务 】。 


除 此 之 外 ， 这 些 计 算 机 还 必须 安装 Microsoft System CLR Types for SQL Server 2012 与 
Microsoft Report Viewer Redistributable 2012。 


14.3 WSUS 的 特性 与 工作 方式 


为 了 更 好 地 搭建 WSUS 环 境 ， 本 节 将 先 详细 说 明 WSUS 的 基本 特性 与 工作 方式 。 


如 果 能 够 将 企业 内 部 客户 端 计算 机 适当 分 组 ， 可 以 更 容易 与 明确 地 将 更 新 程序 部 署 到 指 
定 的 计算 机 。 系 统 默认 内 置 了 两 个 计算 机 组 : 所 有 计算 机 与 未 分 配 的 计算 机 ， 客 户 端 计算 机 
在 第 1 次 与 WSUS 服 务 器 通信 时 ， 系 统 默认 会 将 该 计算 机 同时 加 入 这 两 个 组 内 。 可 以 添加 更 多 
的 计算 机 组 ， 例 如 图 14-3-1 中 的 业务 部 计算 机 组 ， 然 后 将 计算 机 从 未 分 配 的 计算 机 组 中 移动 
到 新 组 内 。 另 外 ， 因 为 WSUS 服 务 器 从 Microsoft Update 网 站 所 下 载 的 更 新 程序 最 好 经 过 测试 
后 再 将 其 部 署 到 客户 端 计算 机 ， 因 此 还 建立 了 一 个 测试 计算 机 组 ， 我 们 应 该 先 将 更 新 程序 部 
署 到 测试 计算 机 组 内 的 计算 机 ， 待 测试 无 误 、 确 定 对 企业 内 部 计算 机 没有 不 良 影响 后 ， 再 将 
其 部 署 到 其 他 组 内 的 计算 机 。 


圆 ss 
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“未 分 配 的 计算 机 ”组 


NI 
汉人 
，. 测 斌 计算。 组 下、 所 有 计算 机 "组 


图 143-! 


也 可 以 建立 更 复杂 的 WSUS 服 务 器 架构 ， 也 就 是 建立 多 台 WSUS 服 务 器 ， 并 设置 让 其 中 
一 台 WSUS 服 务 器 〈 称 为 主 服 务 器 ) 从 Microsoft Update 网 站 来 取得 更 新 程序 ， 但 是 其 他 服务 
器 并 不 直接 连接 Microsoft Update 网 站 ， 而 是 从 上 游 的 主 服务 器 来 取得 更 新 程序 ， 例 如 图 14-3-2 
中 的 上 游 WSUS 服 务 器 就 是 主 服 务 器 ， 而 下 游 服 务 器 会 从 上 游 的 主 服 务 器 取得 更 新 程序 。 


上 游 WSUS 服 务 器 
客户 端 计算 机 下 游 WSUS 服 务 器 和 


图 143-2 
这 种 将 WSUS 服 务 器 通过 上 下 游 方式 串 接 在 一 起 的 工作 模式 有 以 下 两 种 ; 


站 自治 模式 : 下 游 服务 器 会 从 上 游 服务 器 取得 更 新 程序 ， 但 是 并 不 包含 更 新 程序 的 审 
批 状态 、 计 算 机 组 信息 ， 因 此 下 游 服务 器 必须 自行 决定 是 否 要 审批 这 些 更 新 程序 与 
自行 建立 所 需 的 计算 机 组 。 

站 副本 模式 : 下 游 服务 器 会 从 上 游 服务 器 取得 更 新 程序 ， 更 新 程序 的 审批 状态 与 计算 
机 组 信息 ， 所 有 可 以 在 上 游 服务 器 管理 的 项 目 均 无 法 在 下 游 服 务 器 自行 管理 ， 例 如 
不 能 够 自行 更 改 更 新 程序 的 审批 状态 等 。 
注意 ， 上 述 计算 机 组 信息 只 有 计算 机 组 本 身 而 已 ， 并 不 包含 计算 机 组 的 成 员 ， 必 须 
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自行 在 下 游 服务 器 管理 组 成 员 ， 而 客户 端 计 算 机 在 第 1 次 与 下 游 WSUS 服 务 器 通信 
时 ， 这 些 计算 机 默认 会 被 同时 加 入 所 有 计算 机 与 未 分 配 的 计算 机 组 内 。 
可 以 根据 公司 网 络 环境 的 需要 来 采用 这 种 上 下 游 WSUS 服 务 器 串联 的 方式 ， 例 如 只 需要 
从 上 游 服务 器 下 载 一 次 更 新 程序 ， 然 后 将 它 分 配给 其 他 下 游 服 务 器 ， 以 便 降 低 Internet 连 接 的 
负担 ;又 例如 对 拥有 大 量 客户 端 计 算 机 的 大 公司 来 说 ， 只 用 一 台 WSUS 服 务 器 来 管理 这 些 客 
户 端 计算 机 的 话 ， 负 载 太 重 ， 此 时 通过 上 下 游 服务 器 来 分 散 管 理 是 比较 好 的 方式 ， 再 例如 如 
果 能 够 将 更 新 程序 放 到 比较 接近 客户 端 计算 机 的 下 游 服务 器 的 话 ， 可 以 让 客户 端 计算 机 更 快 
速 地 取得 所 需 的 更 新 程序 。 
采用 上 下 游 WSUS 服 务 器 串联 架构 的 话 ， 还 需要 考虑 到 不 同 语言 的 更 新 程序 ， 举 例 来 
说 ， 若 上 游 WSUS 服 务 器 是 搭建 在 总 公司 ， 总 公司 需要 的 语言 是 简体 中 文 ， 而 下 游 服务 器 是 
架设 在 分 公司 ， 分 公司 需要 的 语言 是 英文 ， 虽 然 总 公司 仅 需 要 简体 中 文 的 更 新 程序 ， 但 必须 
在 总 公司 的 上 游 服务 器 选择 从 Microsoft Update 网 站 同时 下 载 简体 中 文 与 英文 版 的 更 新 程序 。 
换 句 话说， 连接 Microsoft Update 网 站 的 上 游 WSUS 服 务 器 〈 主 服务 器 ) ， 必 须 下 载 所 有 下 游 
服务 器 所 需要 的 所 有 语言 的 更 新 程序 ， 否 则 下 游 服 务 器 将 无 法 取得 所 需 语 言 的 更 新 程序 。 


这 种 上 下 游 WSUS 服 务 器 串联 的 方式 ， 建 议 最 好 不 要 超过 3 层 ( 虽然 理论 上 并 没有 层 数 
限制 ) ， 因 为 每 增加 一 层 ， 就 会 增加 延迟 时 间 ， 因 而 拉 长 将 更 新 程序 传递 到 每 一 合计 算 
机 的 时 间 。 


可 以 利用 Windows Server 2016 的 内 置 数据 库 或 Microsoft SQL Server 2008 R2 SP1 (或 新 
版 ) 来 构建 数据 库 。 每 一 台 WSUS 服 务 器 都 有 自己 独立 的 一 个 数据 库 ， 用 来 存储 以 下 信息 : 


当 WSUS 服 务 器 的 配置 信息 。 
浊 描述 每 一 个 更 新 程序 的 Metadata。Metadata 内 包含 以 下 数据 : 
国 更 新 程序 的 属性 : 例如 更 新 程序 的 名 称 、 描 述 、 相 关 的 Knowledge Base 文 章 编号 
等 。 
国 适用 规则 : 用 来 判断 更 新 程序 是 否 适用 于 某 台 计算 机 。 
国 安装 信息 : 例如 安装 时 所 需 的 命令 行 参数 (command-line options ) 。 
六 客户 端 计算 机 与 更 新 程序 之 间 的 关系 。 


然而 上 述 数据 库 并 不 会 存储 更 新 程序 文件 本 身 ， 必 须 另 外 选择 更 新 程序 文件 的 存储 位 
置 ， 可 以 有 以 下 两 种 选择 : 
习 存储 在 WSUS 服 务 器 的 本 地 硬盘 内 : 此 时 WSUS 服 务 器 会 从 Microsoft Update 网 站 (或 
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上 游 服务 器 ) 下 载 更 新 程序 ， 并 将 其 存储 到 本 机 硬盘 内 。 此 种 方式 让 客户 端 可 以 直 
接 从 WSUS 服 务 器 来 取得 更 新 程序 ， 不 用 到 Microsoft Update 网 站 下 载 ， 如 此 便 可 以 
节省 Internet 连 接 的 带宽 。 

WSUS 服 务 器 的 硬盘 需要 有 足够 空间 来 存储 更 新 程序 文件 ， 最 少 要 有 10 GB 的 可 用 空 
闻 ， 建 议 是 40 GB 以 上 ， 不 过 实际 需求 要 视 Microsoft 所 释放 出 的 更 新 程序 数量 、 所 下 
载 的 语言 数量 、 产 品 的 种 类 数量 等 因素 而 定 ， 可 能 需要 预 留 更 多 的 可 用 空间 。 

站 存储 在 Microsoft Update 网 站 : 此 时 WSUS 服 务 器 并 不 会 从 Microsoft Update 网 站 来 下 
载 更 新 程序 ， 换 匈 话 说 ， 当 执行 WSUS 服 务 器 与 Microsoft Update 之 间 的 同步 工作 
时 ，WSUS 服 务 器 只 会 从 Microsoft Update 网 站 下 载 更 新 程序 的 Metadata 数 据 ， 并 不 会 
下 载 更 新 程序 本 身 。 
因此 当 审 批 客户 端 可 以 安装 某 个 更 新 程序 后 ， 客 户 端 是 直接 连接 Microsoft Update 网 
站 下 载 更 新 程序 的 。 如 果 客 户 端 计 算 机 的 数量 不 多 ， 或 客户 端 与 WSUS 服 务 器 之 间 
的 连接 速度 不 快 ， 但 是 客户 端 却 与 Internet 之 间 的 连接 速度 较 快 时 ， 就 可 以 选择 此 选 


WSUS 人 允许 延迟 〈defer) 下 载 更 新 程序 文件 ， 也 就 是 VSUS 服 务 器 会 先 下 载 更 新 程序 的 

Metadata， 之 后 再 下 载 更 新 程序 文件 。 更 新 程序 文件 只 有 在 审批 该 更 新 程序 后 才 会 被 下 载 ， 
这 种 方式 可 以 节省 网 络 带 宽 与 WSUS 服 务 器 的 硬盘 空间 使 用 量 。Microsoft 建 议 采 用 延迟 下 载 
更 新 程序 的 方式 ， 而 这 也 是 WSUS 的 默认 值 。 


其 二 生理 |_ 相 同步 时 先 下 载 Metadata 


全 将 更 新 程序 存 | 4 会 
WE 痢 @G) 审 批 后 才 会 开始 下 载 更 新 程序 


WSUS 服 务 器 


14-3-3 


客户 端 计 算 机 要 安装 更 新 程序 时 ， 此 计算 机 内 可 能 已 经 有 该 更 新 程序 的 旧版 文件 ， 这 个 
卓文 件 与 新 更 新 程序 之 间 的 差异 可 能 不 大 ， 若 客户 端 能 够 只 下 载 新 版 与 旧版 之 间 的 差异 ， 然 
后 利用 将 差异 合并 到 旧 文 件 的 方式 来 更 新 的 话 ， 则 可 减少 从 WSUS 服 务 器 下 载 的 数据 量 、 降 
低 对 企业 内 部 网 络 的 负担 。 

不 过 采用 这 种 方式 的 话 ，WSUS 服 务 器 从 Microsoft Update 网 站 所 下 载 的 文件 〈 称 为 快速 
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安装 文件 ) 会 比较 大 ， 因 为 此 文件 内 必须 包含 新 更 新 程序 与 各 旧版 文件 之 间 的 差异 ， 所 以 
WSUS 服 务 器 在 下 载 文件 时 会 占用 较 多 的 对 外 网 络 带 宽 。 | 
例如 ， 假 设 更 新 程序 文件 的 原始 大 小 为 100 MB， 图 14-3-4 上 半 部 是 未 使 用 快速 安装 文件 
的 情况 ， 此 时 WSUS 服 务 器 会 从 Microsoft Update 网 站 下 载 这 个 大 小 为 100 MB 的 文件 ， 客 户 端 
从 WSUS 服 务 器 也 是 下 载 100 MB 的 数据 量 。 图 14-3-4 下 半 部 是 使 用 快速 安装 文件 的 情况 ， 此 
文件 变 为 较 大 的 200 MB 〈 这 是 为 了 解释 方便 的 假设 值 ) ， 虽 然 WSUS 服 务 器 需 从 Microsoft 
Update 下 载 的 文件 大 小 为 200MB， 但 是 客户 端 从 WSUS 服 务 器 仅 需 下 载 30 MB 的 数据 量 。 系 

统 默认 不 使 用 快速 安装 文件 。 


图 143-4 


14.4 安装 WSUS 服 务 器 


搭建 WSUS 并 不 需要 AD DS (Active Directory Domain Services) 域 环 境 ， 然 而 为 了 利用 
组 策略 来 更 好 地 管理 客户 端的 自动 更 新 设置 ， 因 此 建议 使 用 AD DS 域 环境 。 

我 们 将 利用 图 14-4-1 的 环境 来 说 明 。 图 14-4-1 中 安装 了 一 台 Windows Server 2016 域 控制 
器 ， 计 算 机 名 称 为 DC， 域 名 为 sayms.local， 它 同时 也 是 用 来 支持 AD DS 的 DNS 服务 器 ; 
WSUS 服 务 器 为 Windows Server 2016 成 员 服 务 器 ， 计 算 机 名 称 为 WSUS; 另外 ， 还 搭建 了 2 人 台 
客户 端 计算 机 Winl10PC1、Win8gPC1， 假 设 它们 也 都 加 入 了 域 。 请 先 准备 好 需要 的 计算 机 ， 并 
设置 其 TCP/IPv4 参 数值 (图 中 采用 TCP/IPv4) 、 搭 建 好 AD DS 域 、 将 其 他 计算 机 加 入 域 。 


固 4o 


域 控制 器 & 
DNS 服务 器 


Dc 
IP:192.168.8.1/24 

默认 网 关 :192.168.8.254 
DNS:192.168.8.1 
(Windows Server 2016) 


Win10Pc1 
1p:192.168.8.3/24 
软 认 网 关 :192.168.8.254 
DNS:192.168.8.1 
(加 入 域 的 客户 端 计算 机 : 
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WSUS 服 务 器 


WSUsS 
ip:192.168.8.2/24 
表 默认 网 关 :192.168.8.254 
细 DNS:192.168.8.1 
(Windows Server 2016 成 员 服 务 器 ) 


六 
外 人 1P:192.168.8.4/24 
芭 默认 网 关 :192.168.8.254 


AAA、DNS:192.168.8.1 
3 入 域 的 客户 端 计算 机 


如 果 利 用 HyperV 搭 建 虚拟 机 并 且 虚 拟 机 的 虚拟 硬盘 是 从 同一 个 母 盘 复制 的 话 ， 必 须 在 
虚拟 机 内 运行 Syspre.exe ( 参见 5.4 节 ) 。 


另外 ， 为 了 能 够 从 Microsoft Update 网 站 下 载 更 新 程序 ， 要 确保 此 网 络 可 以 连接 Internet， 
这 里 假设 此 网 络 是 通过 NAT (Network Address Translation， 例 如 卫 共 享 器 、 宽 带路 由 器 等 ) 
连接 Intermnet， 并 且 假 设 NAT 局 域 网 端的 耳 地 址 为 192.168.8.254。 

到 图 14-4-1 中 即将 扮演 WSUS 服 务 器 的 计算 机 《计算 机 名 称 为 WSUS ) 上 利用 
Administrator 身 份 登录 ， 然 后 通过 以 下 步骤 来 安装 WSUS。 


STEP 贺 。 先 到 微软 网 站 下 载 Microsoft System CLR Types for SQL Server 2012 SP2， 它 包含 

在 Microsoft@ SQL Server@ 2012 Feature Pack， 请 从 其 中 选择 Microsoft System 
CLR Types for SQL Server 2012 SP2， 文 件 名 是 SQLSysClrTypes.msie 接着 还 需 下 
载 Microsoft Report Viewer 2012 Runtime。 

STEP 加 。 打开 服务 器 管理 器 ， 单 击 仪表 板 处 的 添加 角色 和 功能 。 

STEP 回 持续 单 击 请 按钮 一 直到 出 现 图 14-4-2 的 界面 时 义 选 Windows Server 更 新 服务 ， 
单 击 关 着 尖 提 按钮 ， 持 续 单 击 道 加 肌 接 钮 .…。 

STEP 四 ”如 图 14-4-3 所 示 选 择 后 单 击 钒 时 唱 技 钮 。 图 14-4-3 中 选择 内 置 数据 库 ( Windows 
Internal Database，WID ) ， 如 果 要 使 用 SQL 数据 库 的 话 ， 需 要 勾 选 SQL Server 
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选择 服务 器 角色 


开始 之 前 


图 1443 


STEP 回 ”在 图 14-4-4 中 我 们 选择 将 所 下 载 的 更 新 程序 存储 到 本 地 的 C:VWSUS 目 录 。 


Web 服务 器 角色 (NS) 
角色 服务 
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STEP 回 。 回 到 确认 安装 所 选 内 容 界面 时 单 击 终 国 按 钮 ， 接 着 可 等 到 安装 完成 后 再 单 击 庙 阅 
钮 。 

STEP 加 。” 如 图 14-4-5 所 示 启 动 后 续 的 安装 工作 。 接 下 来 就 等 待 其 完成 此 工作 ， 也 可 以 单 击 图 
上 的 惊叹 号 来 查看 安装 的 进度 。 


图 1445 


STEP 图 ”接着 请 安装 由 微软 网 站 下 载 的 Microsoft System CLR Types for SQL Server 2012 SP2。 
完成 后 继续 安装 Microsoft Report Viewer 2012 Runtime， 如 果 未 先 安装 Microsoft System 
CLR Types for SQL Server 2012 的 话 ， 会 显示 如 图 14-4-6 所 示 的 警告 信息 。 


睛 Microsoft Report Viewer 2012 运行 时 


安装 程序 抽 少 一 个 安装 必 备 组 件 : 
-Microso 代 System CLR Types for SQL Server 2012。 


放生 2 状语 


STEP 图 ” 单 击 左下 角 开 始 图 标 田 2Windows 管理 工具 人 Windows Server 更 新 服务 。 
STEP 加 。 出 现 Windows Server 更 新 服务 配置 向 导 的 开始 之 前 界面 时 单 击 调 汪 加 坟 钮 。 


也 可 以 稍 后 再 通过 WSUS 管 理 控制 全 内 的 选项 界面 来 执行 配置 向 导 。 


STEPE 出 现 加 入 Microsoft 更 新 改善 计划 界面 时 ， 请 自行 决定 是 否 要 参与 此 计划 后 单 击 


拉锯 。 


STEP 因 ”在 图 14-4-7 中 我 们 选择 让 WSUS 服 务 器 从 Microsoft 更 新 中 进行 同步 ， 也 就 是 让 服 
务 器 直接 从 Microsoft Update 网 站 下 载 更 新 程序 与 Metadata 等 。 
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图 144-7 
STEP 加 如 果 WSUS 服 务 器 需要 通过 企业 内 部 的 Proxy 服 务 器 ( 代理 服务 器 ) 连接 Internet 的 


话 ， 请 在 图 14-4-8 中 输入 Proxy 服 务 器 的 相关 信息 ， 包 含 服务 器 名 称 、 端 口 ， 如 果 
需要 验证 身份 的 话 ， 再 输入 用 户 名 与 密码 等 信息 ， 完 成 后 单 击 熏 和 扩 钮 。 


中 


图 1448 


STEP 6 四 单 击 图 14.4.9 中 的 卉 王国 国 控 钮 ， 以 便 从 Windows Update 网 站 ( 或 上 游 服务 器 ) 取得 更 、 
新 程序 的 相关 信息 ( 这 需要 花费 一 段 时 间 ) 。 完 成 下 载 后 单 击 遍 吐 用 扩 钮 。 


图 1449 
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STEP 母 在 图 14-4-10 中 选择 下 载 所 需 语言 的 更 新 程序 后 单 击 国 量 加 扩 钮 。 


STEPE 回 ”在 图 14-4-11 选 择 需要 下 载 更 新 程序 的 产品 后 单 击 病 国 加 按 钮 。 默 认 会 选择 
Windows 系 统 的 更 新 程序 。 


| |- 回 widows 1OAnmiversary Update and Later Upgrede 阴 Sericingf 
| LIwWndowsiocCraeneUpdmsaend arSaviang Diives 


图 14411 
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STEP 回 在 图 14-4-13 中 选择 手动 或 自动 同步 后 单 击 蛮 和 国 按钮 。 如 果 选 择 自动 同步 的 话 ， 
需要 设置 第 1 次 同步 的 时 间 与 每 天 同步 的 次 数 -( 系统 会 自动 设置 同步 间隔 时 间 ) ， 
举例 来 说 ， 如 果 您 设置 第 1 次 同步 时 间 为 3:00AM， 且 每 天 同步 次 数 为 4 次 的 话 ， 则 
系统 会 在 3:00AM、9:00AM、3:00PM 与 9:00PM 这 4 个 时 间 点 自动 执行 同步 工作 。 


oa 
=xav_xor 国 且 加 


请 注意 ， 在 设 村 等 天 从 Micrasoft 更 新 中 进行 同步 的 计划 时 ， 同 步 开始 时间 的 随机 傅 称 


14.4-13 


STEP 加 。 可 义 选 图 14-4-14 中 的 选项 来 执行 第 1 次 同步 工作 ， 单 击 靖国 加 扶 钮 。 


图 144-14 


STEP 外 。 出 现下 一 步 做 什么 界面 时 直接 单 击 峡 出 按 钮 。 
STEPE 由 图 14-4-15 中 可 看 出 当前 的 同步 进度 。 
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旋 更 新 强 务 天 
者 文 tt 搞 /F(A) 坦 看 (V)， 宣 D(W) 帮助 (H) 上 了 


和 史 |[ 南 日 而 时 


图 144-15 


以 后 阁 要 再 次 执行 手动 同步 操作 的 话 ， 可 以 通过 图 14-4-16 中 同步 界面 右边 的 立即 同步 来 


基 更新 最 务 =- 避 
放 文人 (D。 强人 #IA) 童 丰 M) 窗口 IW) “帮助 (H) 四 


完成 半 槛 。 结 洒 ”新 的 更 新 ， 修订 的 -。 过 WB 的 ， 


2017/12/11 947 ”2017/12/11 1006 手动 成功 0 0 


2017112/11 1200 
2017112711 1254 
成 功 


图 14.4-16 


如 果 要 将 手动 同步 改 成 按 计划 自动 同步 的 话 ， 选 择 图 14-4-16 中 右 侧 的 同步 选项 ， 或 是 直 
接 单 击 图 14-4-17 中 左 侧 的 选项 ， 然 后 通过 图 中 的 同步 计划 来 设置 。 除 此 之 外 ， 在 前 面 安装 过 
程 中 的 所 有 设置 也 都 可 以 通过 此 选项 界面 来 更 改 。 在 同步 操作 尚未 完成 之 前 ， 无 法 存储 对 设 
置 的 更 改 ， 因 此 需要 等 待 同步 完成 后 再 来 更 改 设置 。 
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谨 更 新 导 务 
和 文昌 的 fFA)， 坦 看 W。 言 QIW) 帮助 
和 中 | 和 而 | 上 日 曾 


图 144-17 


14.5 设置 客户 端的 自动 更 新 


要 让 客户 端 计算 机 能 够 通过 WSUS 服 务 器 来 下 载 更 新 程序 ， 这 个 设置 可 以 通过 以 下 两 种 
方法 来 实现 : 
习 组 策略 : 在 AD DS 域 环境 下 可 以 通过 组 策略 来 设置 。 
漳 本 地 计算 机 策略 : 妈 果 没有 AD DS 域 环境 ， 或 客户 端 计 算 机 未 加 入 域 ， 则 可 以 通过 
本 地 计算 机 策略 来 设置 。 
下 面 利 用 域 组 策略 来 说 明 。 假 设 要 在 域 saymsJlocal 内 建立 一 个 域 级 别 的 GPO〈 组 策略 对 
象 ) ， 其 名 称 为 WSUS 策 略 ， 然 后 通过 这 个 GPO 来 设置 域内 所 有 客户 端 计算 机 的 自动 更 新 配置 。 


STEP 策 ”到 域 控制 器 上 单 击 左下 角 开始 图 标 胃 2Windows 管理 工具 3 组 策略 管理 。 
STEP 圆 ”如 图 14-5-1 所 示 通 过 【选中 域 sayms.local 右 击 信 在 这 个 域 中 创建 GPO 并 在 此 处 链接 
3 设置 GPO 的 名 称 ( 例如 WSUS 策 略 ) 后 单 击 吴 员 按 钮 ] 的 方法 来 建立 GPO。 


该 页 是 示 此 城 的 Active Directory 和 Sysvol (DFSR) 


司 Defaut [了 -在 弃 人 二 fl 建 GPO 并 在 HE 后 < 
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STEP 图 “如 图 14-5-2 所 示 【 选 中 刚才 建立 的 WSUS 策 略 右 击 2 编 辑 ]。 


图 14.5-2 


STEP 四 展开 计算 机 配置 纺 策 略 仿 管理 模板 人 Windows 组 件 人 在 图 14-5-3 中 双击 Windows 更 
新 右 侧 的 配置 自动 更 新 人 在 前 景 图 中 选择 客户 端 计算 机 的 自动 更 新 方式 : 
涪 通知 下 载 并 通知 安装 : 在 下 载 更 新 程序 前 会 通知 已 登录 的 系统 管理 员 ， 由 他 自行 决 
定 是 否 要 现在 下 载 ; 下 载 完成 后 、 准 备 安装 前 也 会 通知 系统 管理 员 ， 然 后 由 他 自行 
决定 是 否 要 现在 安装 。 


0 
和 中 | 当 EEE 可 | 四 加 | 翌 


图 145-3 


站 自动 下 载 并 通知 安装 : 自动 下 载 更 新 程序 ， 下 载 完 成 后 、 准 备 安装 前 会 通知 已 登录 
的 系统 管理 员 ， 然 后 由 他 自行 决定 是 否 要 现在 安装 : 
站 自动 下 载 并 计划 安装 : 自动 下 载 更 新 程序 ， 且 会 在 指定 时 间 自 动 安装 。 选 择 此 选项 
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的 话 ， 还 必须 在 界面 的 下 半 部 分 指定 自动 安装 的 日 期 与 时 间 。 
浊 允许 本 地 管理 员 选 择 设置 : 前 面 几 项 设置 完成 后 ， 就 无 法 在 客户 端 进行 变更 了 ， 但 
此 选项 让 在 客户 端 登录 的 系统 管理 员 可 以 通过 控制 面板 来 自行 选择 自动 更 新 方式 。 
STEP 回 ”双击 图 14-5-4 中 指定 Intranet Microsoft 更 新 服务 位 置 ， 然 后 指定 让 客户 端 从 WSUS 服 
务 器 来 获取 更 新 程序 ， 同 时 也 设置 让 客户 端 将 更 新 结果 返回 给 WSUS 服 务 器 ， 这 两 
处 都 请 输入 http://wsus.sayms.local:8S30/ 或 http://wsus.sayms.local/， 其 中 的 8530 为 
WSUS 网 站 的 默认 监听 端口 号 。 完 成 后 单 击 吴 重 按 钮 。 


设置 完成 后 ， 需 要 等 域内 的 客户 端 计 算 机 应 用 这 个 策略 之 后 才 有 效 ， 而 客户 端 计 算 机 默 
认 是 每 隔 90~120 分 钟 应 用 一 次 〈 参 考 第 11 章 ) ， 若 希望 客户 端 能 够 快 一 点 应 用 的 话 ， 请 到 客 
户 端 计算 机 上 执行 gpupdate /force 命 令 〈 或 将 客户 端 计 算 机 重新 启动) 。 


1. 客户 端 计算 机 应 用 策略 后 ， 就 无 法 在 客户 端 更 改 自 动 更 新 设置 。 


2. 未 加 入 域 的 计算 机 可 执行 GPEDIT.MSC， 以 便 通 过 本 地 计算 机 策略 来 完成 上 述 设置 ， 
而 且 设置 完成 后 会 立即 应 用 。 


应 用 完成 后 ， 还 需 等 客户 端 计算 机 主动 开始 与 WSUS 服 务 器 通信 后 ， 在 WSUS 管 理 控制 
台 内 才 看 得 到 这 些 客户 端 计算 机 ， 然 后 就 可 以 开始 将 更 新 程序 部 署 到 这 些 计算 机 ， 不 过 客户 
端 计算 机 在 组 策略 应 用 完成 后 约 20 分 钟 才 会 主动 去 与 WSUS 服 务 器 通信 ， 如 果 不 想 等 待 的 
话 ， 可 以 利用 手动 方式 来 与 WSUS 服 务 器 通信 ， 其 方法 为 到 客户 端 上 执行 wuauclt /detectnow 
命令 。 
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14.6 审批 更 新 程序 


请 到 WSUS 服 务 器 上 【 单 击 左下 角 开始 图 标 曙 2 Windows 管理 工具 仿 Windows Server 更 新 
服务 令 展 开 到 计算 机 之 下 的 所 有 计算 机 驴 在 中 间 窗 口 的 状态 位 置 选择 任何 】， 之 后 将 看 到 如 
图 14-6-1 所 示 的 客户 端 计 算 机 列表 ， 如 果 有 客户 端 计 算 机 仍 未 显示 在 此 界面 的 话 ， 可 以 先 到 
这 些 计 算 机 上 通过 gpupdate /force 来 立即 应 用 GPO 内 的 组 策略 设 定 ， 然 后 再 执行 wuauclt 
ldetectnow 命 令 ， 以 便 加 快 让 这 些 计 算 机 出 现在 图 14-6-1 的 界面 中 。 

图 中 会 显示 每 一 台 客 户 端 计算 机 的 计算 机 名 称 、 卫 地 址 、 操 作 系 统 的 种 类 、“ 已 安装 与 
不 适用 于 此 计算 机 ”的 更 新 程序 数量 占 所 有 更 新 程序 总 数 的 百分比 、 客 户 端 计 算 机 上 次 向 
WSUS 服 务 器 更 新 状态 的 时 间 。 可 以 在 最 上 方 中 间 的 状态 处 选择 根据 不 同 的 状态 来 显示 计算 
机 信息 ， 例 如 选择 只 显示 需要 安装 更 新 程序 的 客户 端 计算 机 ， 然 后 单 击 刷新 。 在 图 14-6-1 中 
我 们 选择 显示 所 有 状态 〈 也 就 是 任何 ) 的 计算 机 。 

如 果 客 户 端 有 新 的 更 新 状态 可 通告 ， 而 你 希望 立即 通告 的 话 ， 可 到 客户 端 计 算 机 上 执行 
wuanclt /reportnow 命 令 


为 便于 利用 WSUS 管 理 控 制 台 来 部 署 客户 端 计 算 机 所 需 的 更 新 程序 〈 尤 其 是 计算 机 数量 
较 多 时 ) ， 建 议 为 客户 端 计算 机 进行 组 分 类 。 请 先 建立 计算 机 组 ， 例 如 我 们 要 建立 一 个 名 称 
为 业务 部 计算 机 的 组 ， 并 将 隶属 于 业务 部 的 计算 机 搬移 到 此 组 内 。 


STEP 回 ”请 如 图 14-6-2 所 示 【 单 击 所 有 计算 机 界面 右 侧 的 添加 计算 机 组 人 输入 组 名 后 单 击 


击 让 拉锯 ] 。 
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有 更 新 强 务 PR] X 
出 六 HR 强直 沽 MI 本 DOM 各 卫 H) 二 加 
4 和 只 | 二 恒 日 是 


14.6-2 


STEP 回 。 将 应 该 未 属于 业务 部 的 计算 机 从 未 分 配 的 计算 机 移动 到 刚 建立 的 业务 部 计算 机 组 
中 : 【如 图 14-6-3 所 示 单 击 左 侧 未 分 配 的 计算 机 驴 在 状态 区 选择 任何 后 单 击 刷新 3 先 
择 待 移动 到 业务 部 计算 机 组 的 计算 机 驴 单 击 右 侧 的 更 改 成 员 身份 2 在 前 景 图 中 勾 先 
业务 部 计算 机 组 后 单 击 喘 重 按钮 ] 。 


WSUS 所 下 载 的 所 有 更 新 程序 都 需要 经 过 审批 后 ， 客 户 端 计算 机 才 可 以 安装 此 更 新 程 
序 ， 此 处 假设 要 审批 某 个 安全 性 更 新 ， 以 便 让 业务 部 计算 机 组 内 的 计算 机 来 安装 此 更 新 程 
序 : 【如 图 14-6-4 所 示 在 审批 处 选择 未 审批 、 在 状态 处 选择 任何 纺 单 击 安全 更 新 界面 内 其 中 
一 个 更 新 程序 3 单 击 右 侧 的 审批 3 单 击 业务 部 计算 机 组 2 已 审批 进行 安装 3 单 击 嗣 呈 接 
钮 】。 之 后 如 果 要 解除 审批 的 话 ， 请 执行 相同 的 步骤 ， 但 是 在 图 14-6-4 中 选择 未 审批 。 


在 图 14-6-4 中 更 新 程序 右 侧 “已 安装 /不 适用 的 更 新 比例 ”字段 的 数值 ( 图 中 为 75% ) ， 


表示 “已 经 安装 此 更 新 程序 与 不 适用 此 更 新 程序 ”的 计算 机 数量 ， 上 古 所 有 计算 机 数量 总 
数 的 百分比 ， 例 如 总 共有 100 人 台 计 算 机 ， 其 中 有 60 合 计算 机 已 经 安装 了 此 更 新 程序 、15 
合计 算 机 不 适用 此 更 新 程序 ， 则 此 处 的 数值 就 是 ( 60+15 ) /100=75%。 
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图 14.6-4 


由 于 WSUS 默 认 会 推迟 下 载 更 新 程序 ， 也 就 是 WSUS 服 务 器 与 Microsoft Update 同 步 时 仅 
会 下 载 更 新 程序 的 Metadata， 当 我 们 审批 更 新 程序 后 ， 更 新 程序 才 会 被 下 载 ， 由 于 我 们 刚 完 成 
审批 上 述 更 新 程序 ，WSUS 服 务 器 正 要 开始 下 载 此 更 新 程序 ， 在 还 未 下 载 完 成 之 前 ， 会 看 到 如 
图 14-6-5 所 示 的 提示 信息 ， 必 须 等 下 载 完成 后 ， 客 户 端 计算 机 才 可 以 开始 安装 此 更 新 程序 。 


在 图 14-6-5 中 更 新 程序 右 侧 审批 字段 出 现 了 安装 ( UV3 ) 字样 ， 表 示 目 前 有 3 个 计算 机 
组 ， 其 中 有 1 个 群 组 已 经 被 审批 安装 此 更 新 程序 ， 例 如 目前 有 所 有 计算 机 、 未 分 配 的 计 
算 机 与 业务 部 计算 机 3 个 组 ， 但 仅 业 务 部 计算 机 组 被 审批 安装 此 更 新 程序 。 


虽然 已 经 审批 此 更 新 程序 可 以 让 业务 部 计算 机 组 内 计算 机 来 安装 ， 可 是 客户 端 计算 机 默 
认 是 每 隔 17.6 到 22 小 时 才 会 连接 WSUS 服 务 器 来 检查 是 否 有 最 新 更 新 程序 可 供 下 载 〈 可 利用 
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wuauclt /detectnow 命 令 来 手动 检查 ) 。 如 果 检 查 到 有 更 新 程序 可 供 下 载 ， 客 户 端 计 算 机 什么 
时 候 会 下 载 此 更 新 程序 呢 ? 下 载 完成 后 什么 时 候 才 会 安装 昵 ? 这 些 都 要 视图 14-6-6 的 设置 而 
定 ， 此 设置 在 图 14-5-3 中 已 设置 过 ， 也 解释 过 ， 此 处 不 再 袭 述 。 


图 14.6-6 


客户 端 默 认 是 每 隔 17.6 到 22 小 时 才 会 连接 WSUS 服 务 器 来 检查 是 和 否 有 最 新 更 新 程序 可 供 
下 载 ， 此 时 间 值 可 以 通过 图 14-6-7 的 自动 更 新 检测 频率 来 更 改 ， 实 际 时 间 是 此 处 设置 值 减 掉 
一 个 随机 值 ， 这 个 随机 值 是 设置 值 的 0% 到 20%， 例 如 默认 值 为 2 小时， 则 客户 端 会 每 隔 17.6 
到 22 小 时 之 间 来 检查 是 否 有 最 新 更 新 程序 。 如 果 此 策略 被 设置 为 已 禁用 或 未 配置 的 话 ， 则 系 
统 默认 就 是 每 隔 17.6 到 22 小 时 进行 一 次 检查 。 


机 
Windows Xp professional Service Pack 1 或 Windows 2000 Service Pack 3 及 以 上 版 
本 ,不 包括 Windows RT 关 
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如 果 希 望 客户 端 计算 机 能 够 早 一 点 自动 检查 、 下 载 与 安装 ， 以 便 来 验证 WSUS 功 能 是 否 
正常 、 客 户 端 是 否 会 通过 WSUS 服 务 器 来 安装 更 新 程序 的 话 ， 请 将 图 14-6-7 的 时 间 缩 得， 然后 
到 客户 端 执 行 gpupdate /force 立 即 应 用 此 策略 ， 或 是 直接 到 客户 端 计 算 机 执行 wuauclt 
/detectow 命 令 。 

如 果 更 新 设置 如 图 14-6-6 所 示 选 择 3 - 自动 下 载 并 通知 安装 的 话 ， 则 当 客 户 端 计算 机 检测 
到 有 更 新 程序 时 便 会 自动 下 载 ， 而 客户 端 用 户 〈 以 Windows 8.1 为 例 ) 可 以 通过 【控制 面板 驴 
系统 和 安全 弓 Windows Update】 来 查看 是 和 否 有 更 新 程序 可 供 安装 ， 如 图 14-6-8 所 示 有 一 个 已 经 
下 载 的 更 新 程序 。 


~ 个 ,办 "控制 面板 ， 系统 和 安全 ， ”Windows Update 


Windows Update 


1 个 重要 更 全 可 以 使 用 | 已 侈 择 1 个 重要 更 新 ，1.2 MB 


还 原 隐 莞 的 更 新 


查看 更 新 历史 记录 安装 已 下 载 的 更 新 


最 近 检 查 更 新 的 时 间 : 今天 2008 


另 请 参 间 安装 更 新 的 时 间 :。 。 从 未 
已 安装 的 更 新 


接收 更 新 : 由 系统 管理 员 管理 
在 线 检查 Windows Update 的 更 帮 . 


图 14.6-8 


和 本 


ET 


ER 
人 


如 果 您 单 击 图 14-6-9 中 某 个 更 新 程序 右 侧 拒绝 的 话 ， 则 系统 将 解除 其 审批 ， 同 时 在 WSUS 
数据 库 内 与 此 更 新 有 关 的 报告 数据 《由 客户 端 计算 机 返回 的 ) 都 将 被 删除 ， 另 外 在 此 界面 上 
”也 看 不 到 此 更 新 程序 。 如 果 要 看 到 被 拒绝 的 更 新 程序 的 话 ， 请 将 图 14-6-9 中 审批 处 改 为 已 拒 
绝 后 单 击 刷新 。 


各 fEA 理 丰 (本 DIW， 福 WH 
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可 以 设置 以 后 当 WSUS 服 务 器 与 Windows Update 同 步 时 自动 审批 所 下 载 的 更 新 程序 。 例 
如 ， 希 望 所 有 下 载 的 安全 更 新 与 关键 更 新 都 能 够 自动 审批 给 所 有 计算 机 的 话 : 【如 图 14-6-10 
所 示 单 击 选项 界面 中 的 自动 审批 2 在 前 景 图 中 匀 选 默认 的 自动 审批 规则 3 单 击 量 员 按 钮 】。 
若 也 要 将 此 规则 应 用 到 已 经 同步 的 更 新 程序 的 话 ， 请 单 击 界面 中 的 运行 规则 。 从 中 可 看 出 还 
可 以 自行 建立 自动 审批 规则 ， 或 编辑 、 删 除 现 有 规则 。 


图 146-11 


所 WSUS 更 新 : 可 用 来 设置 是 否 要 让 WSUS 产 品 本 身 的 更 新 程序 自动 被 审批 。 
浊 更 新 修订 : 
图 自动 审批 已 审批 的 更 新 的 新 修订 : 如 果 已 审批 的 更 新 程序 未 来 有 修订 版 本 的 话 ， 
则 自动 审批 此 修订 版 本 的 更 新 程序 。 
国 当 新 修订 导致 更 新 过 期 时 自动 拒绝 更 新 : 当 未 来 有 新 修订 的 版 本 出 现 ， 而 使 得 旧 
版 本 过 期 时 ， 则 自动 拒绝 这 个 过 期 的 旧 的 更 新 程序 。 
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14.7 自动 更 新 的 组 策略 设置 


前 面 曾经 介绍 过 几 个 与 自动 更 新 有 关 的 组 策略 设置 ， 本 节 将 介绍 更 多 的 设置 《可 以 参考 
图 14-7-1) ， 以 便于 进一步 控制 客户 端 计算 机 与 WSUS 服 务 器 之 间 的 通信 方式 。 可 以 针对 整个 
域内 的 计算 机 或 某 个 组 织 单位 内 的 计算 机 来 设置 组 策略 。 建 议 通 过 另外 建立 GPO 的 方式 来 设 
置 ， 尽 量 不 要 更 改 内 置 的 Default Domain Policy GPO 或 Default Domain Controllers GPO 的 设置 。 


和 路 | 圳 硬 | 司 | 上 加 | 字 一 


了 


配置 自动 更 新 
用 来 设置 客户 端 下 载 与 安装 更 新 程序 的 方式 ， 此 策略 已 在 图 14-5-3 解 释 过 了 。 


指定 Intranet Microsoft 更 新 服务 位 置 


用 来 指定 让 客户 端 计算 机 从 WSUS 服 务 器 来 取得 更 新 程序 ， 同 时 也 设置 让 客户 端 将 更 新 
结果 返回 给 WSUS 服 务 器 ， 此 策略 已 经 在 图 14-5-4 解 释 过 了 。 


自动 更 新 检测 频率 


用 来 设置 客户 端 计算 机 每 隔 多 长 时 间 连 接 WSUS 服 务 器 ， 以 便 检 查 是 否 有 最 新 的 更 新 程 
序 可 供 下 载 与 安装 ， 此 策略 已 经 在 图 14-6-7 解 释 过 了 。 


允许 非 管 理 员 接 收 更 新 通知 


如 果 在 设 定 自动 更 新 策略 中 被 设置 为 在 下 载 前 或 安装 前 通知 用 户 的 话 ， 则 默认 只 有 系统 
管理 员 才 会 收 到 此 通知 信息 《例如 右 下 角 状 态 栏 会 显示 通知 图 标 ) ， 然 而 启用 此 策略 后 ， 就 
可 以 让 非 系统 管理 员 也 收 到 通知 信息 。 若 此 策略 被 设置 为 已 禁用 或 未 配置 的 话 ， 则 只 有 系统 
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管理 员 才 会 收 到 通知 信息 。 

允许 自动 更 新 立即 安装 

当 更 新 程序 下 载 完成 且 准 备 好 可 以 安装 时 ， 默 认 是 根据 在 设置 自动 更 新 策略 内 的 设置 来 
决定 何 时 安装 此 更 新 程序 ， 然 而 启用 此 允许 自动 更 新 立即 安装 策略 后 ， 某 些 更 新 程序 会 被 立 


即 安 装 ， 这 些 更 新 程序 是 指 那些 既 不 会 中 断 Windows 服 务 ， 也 不 会 重新 启动 Windows 系统 的 
更 新 程序 。 


对 于 有 已 登录 用 户 的 计算 机 ， 计 划 的 自动 更 新 安装 不 执行 重新 启动 


如 果 在 设置 自动 更 新 策略 中 选择 计划 安装 更 新 程序 的 话 ， 有 的 更 新 程序 安装 完成 后 需要 
重新 启动 计算 机 ， 而 对 于 有 已 登录 用 户 的 计算 机 ， 计 划 的 自动 更 新 安装 不 执行 重新 启动 策略 
则 是 用 来 设置 如 果 有 用 户 登 录 客 户 端 计 算 机 的 话 是 否 要 自动 重新 启动 计算 机 。 

如 果 启 用 此 策略 的 话 ， 则 系统 仅 会 通知 已 经 登录 的 用 户 ， 要 求 用 户 重新 启动 系统 以 便 完 
成 安装 程序 。 

如 果 此 策略 被 设置 为 已 禁用 或 未 配置 的 话 ， 则 系统 会 通知 已 经 登录 的 用 户 此 计算 机 将 在 
5 分 钟 后 《此 时 间 可 通过 下 一 个 策略 来 更 改 ) 自动 重新 启动 。 


对 计划 的 安装 延迟 重新 启动 


用 来 设置 计划 安装 完成 后 ， 系 统 自 动 重新 启动 前 需 等 待 的 时 间 《〈 默 认为 5 分 钟 ) ， 请 参考 
前 一 个 策略 的 说 明 。 

对 计划 的 安装 再 次 提示 重新 启动 

如 果 通 过 计划 安装 更 新 程序 后 需要 重新 启动 计算 机 ， 且 系统 也 通知 已 经 登录 的 用 户 此 计 
算 机 将 在 5 分 钟 后 《默认 值 ) 自动 重新 启动 ， 此 时 如 果 用 户 在 通知 界面 选择 不 要 重新 启动 的 
话 ， 则 系统 等 一 段 时 间 后 还 是 会 再 次 通知 用 户 计 算 机 将 在 5 分 钟 后 重新 启动 ， 此 等 待 时 间 的 长 
短 可 通过 本 策略 来 设置 。 

如 果 启 用 此 策略 的 话 ， 请 指定 重新 通知 用 户 的 等 待 时 间 。 如 果 此 策略 被 设置 为 已 禁用 或 
未 配置 的 话 ， 则 默认 会 等 10 分 钟 后 再 通知 用 户 。 


重新 计划 自动 更 新 计划 的 安装 
如 果 通 过 计划 指定 某 个 时 间 点 来 执行 安装 更 新 程序 的 工作 ， 但 是 时 间 到 达 时 客户 端 计算 


机 却 没有 开机 ， 也 没有 安装 已 经 下 载 的 更 新 程序 ， 此 时 可 以 应 用 此 策略 ， 设 置 客户 端 计算 机 
重新 启动 完成 后 ， 需 等 多 长 时 间 才 开始 安装 之 前 错过 安装 的 更 新 程序 。 
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图 1472 


若是 如 图 14-7-2 所 示 启 用 此 策略 并 指定 等 待 时 间 的 话 ， 则 客户 端 计 算 机 重新 启动 后 ， 就 
会 等 指定 时 间 过 后 再 开始 安装 之 前 错过 安装 的 更 新 程序 。 若 停 用 此 策略 的 话 ， 则 客户 端 计算 
机 需 等 下 一 次 计划 的 时 间 到 达 时 才 安 装 错过 安装 的 更 新 程序 。 若 此 策略 被 设置 为 未 配置 的 
话 ， 则 默认 客户 端 计算 机 重新 启动 后 1 分 钟 再 开始 安装 之 前 错过 安装 的 更 新 程序 。 


允许 客户 端 目标 设置 
应 用 此 设置 的 所 有 客户 端 计算 机 会 自动 被 加 入 到 指定 的 计算 机 组 内 ， 因 此 系统 管理 员 就 


不 需要 利用 WSUS 管 理 控 制 台 来 执行 手动 加 入 的 工作 ， 例 如 在 图 14-7-3 中 我 们 通过 此 策略 来 
让 客户 端 自动 加 入 到 业务 部 计算 机 组 内 。 


Windows XP Professional Service pack 1 或 Windows 2000 Service Pack 3 及 以 上 版 “^ 
本 ,不 和 括 Windows RT > 


图 14-.7-3 
允许 来 自 Intranet Microsoft 更 新 服务 位 置 的 签名 更 新 


如 果 此 策略 启用 的 话 ， 客 户 端 计算 机 就 可 以 从 WSUS 服 务 器 下 载 由 其 他 第 三 方 所 开发 与 
签名 的 更 新 程序 ， 如 果 未 启用 或 禁用 此 策略 的 话 ， 则 客户 端 计算 机 仅 能 够 下 载 由 Microsoft 签 
名 的 更 新 程序 。 
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删除 到 “Window 更 新 ”的 链接 和 访问 


虽然 WSUS 客 户 端 通过 WSUS 服 务 器 只 能 够 取得 经 过 审批 的 更 新 程序 ， 但 是 本 地 系统 管 
理 员 仍 然 有 可 能 通过 开始 菜单 的 Windows Update 链 接 ， 私 自 直接 连接 Microsoft Update 网 站 、 
下 载 与 安装 未 经 过 审批 的 更 新 程序 ， 为 了 减少 发 生 这 种 状况 ， 因 此 建议 通过 此 策略 来 将 客户 
端 计 算 机 的 开始 菜单 的 Window Update 链 接 删 除 : 【展开 用 户 配置 策 略 纺 管理 模板 令 “ 开 
始 ” 莱 单 和 任务 栏 纺 如 图 14-7-4 所 示 启 用 删除 到 “Windows 更 新 ”的 链接 和 访问 策略 】， 完 
成 后 ， 客 户 端 计算 机 的 开始 菜单 与 Internet Explorer 的 工具 菜单 内 就 不 会 再 显示 Window 
Update 链 接 ， 同 时 在 控制 面板 的 Windows 更 新 内 的 检查 更 新 也 会 失效 。 


产 本 4 


二 组 年 贿 惹 理 坊 袁 加 学 口 X 
人 2 > 这 本 和 了 | 
和 中 | 向 图 | 局 | 目 四 | 了 
状态 [ 
未 配置 香 
未 配合 香 
未 配置 | 
未 枉 亚 理 
未 本 置 理 
未 可 置 和 理 
午时 。。 否 医 
未 本 由 香 
未 配置 得 
去 三 杜 香 


关闭 对 所 有 Windows Update 功能 的 访问 


如 果 启 用 此 策略 的 话 ， 则 会 禁止 客户 端 访问 Microsoft Update 网 站 ， 例 如 客户 端 通过 开始 
菜单 的 Windows Update 链 接 去 连接 http:/windowsupdate.microsoft.com/ 网 站 会 被 拒绝 、 直 接 在 
浏览 器 内 输入 上 述 网 址 连接 Windows Update 网 站 也 会 被 拒绝 等 ， 换 句 话 说， 客户 端 计 算 机 将 
无 法 直接 从 Microsoft Update 网 站 取得 更 新 程序 ， 不 过 还 是 可 以 从 WSUS 服 务 器 获取 更 新 。 启 
用 此 策略 的 方法 为 【展开 计算 机 配置 仿 策 略 纺 管理 模板 令 系 统 Q3Internet 通 信 管 理 QInternet 通 
信 设 置信 如 图 14-7-5 所 示 启 用 关闭 对 所 有 Windows 更 新 功能 的 访问 策略 】。 


站 
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第 15 章 ， AD RMS 企业 文件 权限 管理 


Active Directory Rights Management Services (AD RMS) 能 够 确保 企业 内 部 数字 文件 的 
机 密 性 ， 用 户 即使 有 权限 读 取 受 保护 的 文件 ， 但 若 未 被 授权 的 话 ， 就 无 法 复制 与 打印 该 文 
件 。 


冯 AD RMS 概 述 
浊 ADRMS 实 例 演 练 
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15.1 AD RMS 概 述 


虽然 可 以 通过 NTFS“〈 与 ReFS) 权限 来 设置 用 户 的 访问 权限 ， 然 而 NTFS 权 限 还 是 有 功能 
不 足 之 处 ， 例 如 开放 用 户 可 以 读 取 某 个 包含 机 密 数据 的 文件 ， 此 时 用 户 便 可 以 复制 文件 内 容 
或 将 文件 存储 到 其 他 位 置 ， 如 此 便 有 可 能 让 这 份 机 密 文 件 内 容 泄漏 出 去 ， 尤 其 现在 便携 式 存 
储 设 备 很 多 《例如 U 盘 ) ， 因 此 用 户 可 以 轻易 地 将 机 密 文件 带 离 公司 。 

Active Directory Rights Management Services (AD RMS) 是 一 种 信息 保护 技术 ， 在 搭配 
支持 AD RMS 的 应 用 程序 〈 以 下 简称 为 AD RMS-enabled 应 用 程序 ) 后 ， 文 件 的 所 有 者 可 以 将 
其 设置 为 权限 保护 文件 ， 并 授予 其 他 用 户 读 取 、 复 制 或 打印 文件 等 权限 。 如 果 用 户 只 被 授予 
读 取 权 限 的 话 ， 则 他 既 无 法 复制 文件 内 容 也 无 法 打印 文件 。 通 过 电子 邮件 发 送 时 ， 也 可 以 限 
制 收 件 人 无 法 转发 此 邮件 。 1 


每 一 份 权 限 保护 文件 内 都 存储 着 保护 信息 ， 不 论 这 份 文 件 被 移动 、 复 制 到 何 处 ， 这 些 保 
护 信 息 都 仍然 存在 文件 内 ， 因 此 可 以 确保 文件 不 会 被 未 经 授权 的 用 户 访问 。AD RMS 可 以 保 
护 企业 内 部 的 机 密 文 件 与 知识 财产 ， 例 如 财务 报表 、 技 术 文 件 、 客 户 数 据 、 法 律 文件 与 电子 
邮件 内 容 等 。 


AD RMS 服 务 器 


5 


要 访问 文件 的 用 户 
文件 所 有 者 受 保护 的 文件 人 文件 接收 者 ) 


1S-1-1 


习 域 控制 器 : AD RMS 需 AD DS 的 域 环 境 ， 因 此 需要 域 控制 器 。 
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外 AD RMS 服 务 器 : 客户 端 需要 证 书 (certificate ) 与 授权 (license ) 才能 进行 文件 权限 
保护 的 工作 、 访 问 权 限 保 护 文件 ， 而 AD RMS 服 务 器 就 是 负责 证 书 与 授权 的 发 放 。 
可 以 搭建 多 台 AD RMS 服 务 器 来 提供 容错 与 负载 均衡 功能 ， 其 中 第 1 台 服 务 器 被 称 为 
AD RMS 根 群集 服务 器 。 

由 于 客户 端 是 通过 HTTP 或 HTTPS 来 与 AD RMS 服 务 器 通信 ， 因 此 AD RMS 服 务 器 需 
搭建 IIS (Internet Information Services ) 网 站 。 

站 数据 库 服务 器 : 用 来 存储 AD RMS 配 置 与 策略 等 信息 。 可 以 使 用 Microsoft SQL 
Server 来 搭建 数据 库 服务 器 ; 也 可 以 直接 使 用 AD RMS 服 务 器 内 置 的 数据 库 ， 不 过 此 
时 只 能 够 搭建 一 台 AD RMS 服 务 器 。 

外 执行 [AD RMS-enabled 应 用 程序 1 的 客户 端 用 户 : 用 户 执行 AD RMS-enabled 
应 用 程序 ( 例如 Microsoft Office Word 2013 ) ， 并 利用 它 来 建立 、 编 辑 与 将 文件 设置 
为 受 保 护 的 文件 ， 然 后 将 此 文件 存储 到 其 他 用 户 可 以 访问 到 的 地 方 ， 例 如 网 络 共 享 
文件 夹 、 避 盘 等 。 


以 图 15-1-1 为 例 ， 文 件 所 有 者 建立 受 保护 的 文件 、 文 件 接受 者 访问 此 文件 的 流程 如 下 所 


站 当 文 件 所 有 者 第 一 次 执行 保护 文件 工作 时 ， 他 会 从 AD RMS 服 务 器 取得 证 书 ， 拥 有 
证 书后 便 可 以 执行 保护 文件 的 工作 。 

当 文件 所 有 者 利用 AD RMS-enabled 应 用 程序 建立 文件 ， 并 且 执 行 保护 文件 的 步骤 ， 也 
就 是 设置 此 文件 的 权限 与 使 用 条 件 ， 同 时 该 应 用 程序 会 对 此 文件 加 密 。 接 着 会 建立 
发 布 许可 证 ， 发 布 许可 证 内 包含 着 文件 的 权限 、 使 用 条 件 与 解密 密 钥 。 


权限 包含 读 取 、 更 改 、 打 印 、 转 发 与 复制 内 容 等 ， 权 限 可 搭配 使 用 条 件 ， 例 如 可 访问 此 


文件 的 期 限 。 系 统管 理 员 也 可 以 通过 AD RMS 服 务 器 的 设置 来 限制 某 些 应 用 程序 或 用 户 
不 能 打开 受 保护 的 文件 。 


沁 文件 所 有 者 将 受 保护 的 文件 ( 包含 发 布 许可 证 ) 存储 到 可 供 文件 接收 者 访问 的 地 
方 ， 或 将 它 直 接 发 送 给 文件 接收 者 。 

习 文件 接收 者 利用 AD RMS-enabled 应 用 程序 打开 文件 时 ， 会 向 AD RMS 服 务 器 发 出 索 
取 用 户 许可 证 的 请 求 (此 请 求 内 包含 着 文件 的 发 布 许可 证 ) 。 

外 AD RMS 服 务 器 通过 发 布 许可 证 内 的 信息 来 确认 文件 接收 者 有 权 访 问 此 文件 后 ， 会 
建立 用 户 所 要 求 的 用 户 许 可 证 (包含 权限 、 使 用 条 件 与 解密 密 钥 ) ， 然 后 将 用 户 许 
可 证 发 送 给 文件 接收 者 。 
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浊 文件 接收 者 的 AD RMS-enabled 应 用 程序 收 到 用 户 许 可 证 后 ， 会 利用 用 户 许可 证 内 的 
解密 密 钥 来 将 受 保 护 的 文件 解密 并 访问 该 文件 。 


15.2 AD RMS 实 例 演练 


度 ， 


我 们 将 通过 图 15-2-1 来 练习 搭建 一 个 AD RMS 企 业 权 限 管理 的 环境 。 为 了 简化 环境 复杂 
因此 不 使 用 数据 库 服 务 器 ， 改 使 用 AD RMS 服 务 器 的 内 置 数据 库 ， 同 时 将 版 权 保 护 文 件 


直接 放置 到 域 控 制 器 DC 的 共享 文件 夹 内 ， 另 外 客户 端 只 用 一 台 Windows 10 计 算 机 ， 文 件 所 有 
者 与 文件 接收 者 都 使 用 这 一 台 计 算 机 。 


了 下 192.168.8.2124 
DNS:192.168.8.1 


PP192.16881p24lSS 
DNS:192.168.8.1| si 


DC (Windows Server 2016 成 员 服务 器 ) 
域 控制 器 &DNS 服 务 器 


(Windows Server 2016) 


耻 192.16883124 
DNS:192.168.8.1 


准备 好 计算 机 
请 准备 好 图 15-2-1 中 的 3 台 计算 机 ， 并 且 需 要 一 个 AD DS 域 环境 ， 假 设 我 们 所 建立 的 域 为 


Sayms.local: 
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当 安装 好 每 一 台 计 算 机 的 操作 系统 ， 域 控制 器 DC 与 AD RMS 服 务 器 都 是 Windows 
Server 2016 Datacenter、 客 户 端 计算 机 为 Windows 10 Enterprise。 

汉 刀 果 使 用 HyperV 来 搭建 上 述 3 台 看 拟 机 的 话 ， 请 在 DC 与 ADRMS 上 分 别 执行 
Sysprep.exe 更 改 SID 等 相关 信息 (参见 54. 节 ) 。 

浊 依照 图 1$-2-1 所 示 设置 每 一 台 计 算 机 的 网 卡 卫 地址 、 子 网 掩 码 、 首 选 DNS 服务 器 ( 默 
认 网 关 可 不 用 设置 ) : 【 按 避 +[ 国 键 3 控 制 面板 仿 网 络 和 Internet 人 网 络 和 共享 中 心 
单 击 以 太 网 仿 属 性 QInternet 通 信 协 议 版 本 4 (TCP/IPv4) 】〗. 

昱 ”将 3 台 计 算 机 的 计算 机 名 称 分 别 更 改 为 DC、ADRMS 与 Win10PC1: 【 按 蜡 +| 国 键 2 控 
制 面 板 令 系统 和 安全 令 系 统 信 更改 设置 〗】， 完 成 后 重新 启动 计算 机 。 
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浊 暂时 将 每 一 台 计 算 机 的 Windows 防 火 墙 关闭 (可 参考 3.4 节 ) ， 以 免 下 一 个 步骤 ( 执 
行 ping 命 令 ) 受到 Windows 防 火 墙 的 阻挡 。 

站 执行 以 下 步骤 来 测试 各 计算 机 之 间 是 否 可 以 正常 通信 : 

国 到 域 控制 器 DC 上 分 别 利用 ping 192.168.8.2 与 ping 192.168.8.3 测 试 是 否 可 以 与 AD 
RMS 服 务 器 、 客 户 端 计算 机 Win10PC1 通 信 。 

国 到 AD RMS 服 务 器 上 分 别 利用 ping 192.168.8.1 与 ping 192.168.8.3 来 测试 是 否 可 以 
与 域 控制 器 DC、 客 户 端 计算 机 Win10PC1 通 信和 : 

面 到 客户 端 计算 机 Win10PC1 上 分 别 利用 ping 192.168.8.1 与 ping 192.168.8.2 来 测试 是 
否 可 以 与 域 控制 器 DC、AD RMS 服 务 器 通信 。 

匀 重新 启用 每 一 台 计 算 机 的 Windows 防 火 墙 . 

习 利用 将 图 15-2-1 左 上 角 的 服务 器 升级 为 域 控制 器 的 方式 来 建立 域 : 到 该 服务 器 上 打开 
服务 器 管理 器 、 添 加 Active Directory 域 服务 角色 ， 域 名 为 saymas.local， 林 功能 级 别 
为 Windows Server 2016， 完 成 后 重新 启动 计算 机 。 

半分 别 到 计算 机 ADRMS 与 Win10PC1 上 将 它们 加 六 域 sayms.local: 【【 按 弹 + 国 键 2 控制 
面板 驴 系 统 和 安全 仿 系 统 仿 更 改 设置 】， 完 成 后 重新 启动 计算 机 。 


建立 用 户 账户 


在 AD DS 数 据 库 内 建立 文件 所 有 者 的 账户 George 与 文件 接收 者 的 账户 Mary， 还 有 一 个 用 
来 启动 AD RMS 服 务 的 账户 ADRMSSRVC 《名称 是 随意 命名 的 ) ， 这 3 个 账户 都 是 普通 账户 ， 
不 需要 给 予 特殊 权限 。 

到 域 控 制 器 DC 上 利用 域 Administrator 登 录 : 【按键 切换 到 开始 菜单 妈 Windows 管 理工 
具 人 Active Directory 管 理 中心 】， 然 后 分 别 建立 George、Mary 与 ADRMSSRVC 这 3 个 账户 〈 假 
设 建立 在 Users 容 器 ) ， 在 建立 账户 过 程 中 选择 其 他 密码 选项 后 色 选 密码 永 不 过 期 、 为 George 
与 Mary 设 置 电 子 邮 件 地 址 ， 假 设 分 别 是 george@sayms.local 与 mary@sayms.local (图 15-2-2 为 
George 的 界面 ) 。 


本 
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安装 Active Directory Rights Management Services 


请 到 服务 器 ADRMS 上 利用 域 Administrator 身 份 登录 ， 然 后 通过 添加 服务 器 角色 的 方式 来 
安装 Active Directory Rights Management Services。 


安装 Active Directory Rights Management Services 的 用 户 必须 是 隶属 于 本 地 Administrators 


组 与 域 Enterprise Admins 组 ， 而 我 们 当前 使 用 的 域 Administrator 默 认 就 是 隶属 于 这 两 个 
组 。 如 果 要 利用 其 他 域 用 户 账 户 来 登录 与 安装 Active Directory Rights Management 
Services 的 话 ， 请 先 将 此 账户 加 入 这 两 个 组 内 as 


STEP 策 打开 服务 器 管理 器 纺 单 击 仪表 板 处 的 添加 角色 和 功能 。 
STEP 四 。” 接 下 来 几 个 界面 都 单 击 请 且 测 按钮， 一 直到 出 现 图 15-2-3 的 界面 时 勾 选 Active 
Directory Rights Management Services 后 单 击 谓 和 和 过 钮 。 


配 永 加 角色 和 功能 向 导 


选择 服务 器 角色 


15-2-3 


STEP 回 。 接 下 来 的 步骤 都 单 击 盖 叶 加以 钮 ， 一 直到 确认 安装 选项 界面 时 单 击 庙 渊 按钮 ， 安 
装 完成 后 单 击 庙 测控 钮 。 

STEP 四 如 图 15-2-4 所 示 单 击 执行 其 他 配置 ( 如 果 已 经 关闭 此 窗口 的 话 ， 可 通过 单 击 仪表 板 
右上 方 的 旗帜 来 设置 ) 。 
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STEP 回 。 出 现 AD RMS 界 面 时 单 击 请 和 更 钮 。 
STEP 回 。 在 图 15-2-5 单 击 呈 强 按 钮 。 从 中 得 知 可 搭建 两 种 群集 ， 用 于 认证 与 授权 的 “ 根 群 
集 " 与 仅 发 放 授权 的 “ 仅 授权 群集 ”。 安 装 第 1 人 台 服 务 器 会 成 为 “ 根 群 集 ”。 


已 AD RMS 吾 营 : ADRMS.saymsocal 


AD RMS 群集 


AD RMS | 创建 或 加 入 AD RMS 群集 
[DRvsg | 


AD RMS 支持 以 下 隔 和 型 的 群集 : 用 于 认证 和 授权 的 根 妹 入 和 仅 授权 寻 集 。 寺 要 部 署 AD 
蝶 秆 效 据 放 RMS ,你 必须 戎 先 在 林 中 设置 一 个 要 群集。 然后 ， 即 可 在 司 一 林 中 设置 一 个 或 多 个 仅 授权 群集 ， 


加 他 本 的 AD RMS 要 时 和 
全 加 入 现 有 AD RMS 群生 0 


15-2-5 


如 果 环 境 比较 复杂 的 话 ， 可 以 在 搭建 根 群 集 后 另外 再 搭建 仅 授权 群集 ， 不 过 建议 都 使 用 
根 群集 ， 然 后 将 其 他 AD RMS 服 务 器 加 入 到 此 根 群 集 ， 因 为 根 群集 与 仅 授 权 群 集 无 法 部 
署 在 同一 个 负载 均衡 池 ( load-balancing pool ) 。 


STEP 园 。 如 图 15-2-6 所 示 使 用 Windows 内 部 数据 库 后 单 击 国清 国 以 钮 。 


本 AD RMS 配置 : ADRMS.saymsjiocal 


配置 数据 库 


因为 我 们 选择 内 置 数 据 库 ， 所 以 只 能 够 搭建 一 台 AD RMS 服 务 器 。 如 果 要 使 用 Microsoft 
SQL Server 数 据 库 的 话 ， 选 择 指定 数据 库 服务 器 和 数据 库 实例 ， 该 服务 器 必须 加 入 域 ， 
同时 用 来 安装 Active Directory Rights Management Services 的 域 用 户 账户 也 需 隶 属于 该 数 
据 库 服务 器 的 本 地 Administrators 组 ， 如 此 才 有 权限 在 该 数据 库 服务 器 内 建立 AD RMS 所 
需 的 数据 库 。 
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STEP 回 ”在 图 15-2-7 中 通过 单 击 汶 国 按钮 来 选择 用 来 启动 AD RMS 服 务 的 域 用 户 账户 
SAYMS\ADRMSSRVC。 完 成 后 单 击 计 中 拉 钮 。 


图 15-2-7 


STEP 回 ”在 图 15-2-8 中 直接 单 击 吴 间 技 钮 。 


全 加 去 模式 2 (RSA 2048 位 密 钼 /SHA-256 只 着 )2) 
CD 其 杰 模式 1 (RSA 1024 位 密 名 /SHA-1 验 项 XT 


图 15-2-8 


STEPE 加 在 图 15-2-10 中 为 群集 密 钥 (cluster key ) 设置 一 个 密码 后 单 击 国 时 塘 钮 。 当 要 将 
其 他 AD RMS 服 务 器 加 入 此 群集 时 ， 就 必须 提供 此 处 所 设置 的 密码 。AD RMS 会 利 
用 群集 密 钥 来 签署 所 发 放 的 证 书 与 授权 。 
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图 15-2-10 


STEP 上 加 在 图 15-2-11 中 选择 将 IIS 的 Default Web Site 当 作 群 集 网 站 。 


| 选择 AD RMS 群集 网 站 


| 
| AD RMS 托管 在 Internet Information Services IlIS) 虚 氛 目 录 中 ,该 虚拟 目录 设置 在 此 服务 器 的 一 
| “个 观 有 网 站 上 , 


图 1$-2-11 


STEP 较 ”在 图 15-2-12 中 选择 让 客户 端 利用 http 来 连接 群集 网 站 ， 并 设置 其 网 址 ， 例 如 
http://adrms.sayms.local， 其 中 的 adrms 为 AD RMS 服 务 器 的 计算 机 名 称 。 也 可 以 使 
用 其 他 名 称 ， 但 需要 在 DNS 服务 器 内 建立 其 主机 与 卫 地 址 的 映射 记录 。 完 成 后 单 击 
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“条 闹 地 址 使 AD RMS 客户 病 能够 通过 网 阁 与 此 群集 通信 。 建 议 你 格 AD RMS 配置 为 使 用 安全 春 
沿 AD RMS 客户 饥 和 此 群集 之 间 的 网 络 通 信 。 如 果 你 尝试 联合 此 群集 ， 则 必 


图 15-2-12 
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若 要 使 用 安全 的 https 链 接 的 话 ，AD RMS 服 务 器 需要 证 书 ， 证 书 的 相关 说 明 可 参考 另 一 
本 书 (《Windows Server 2016 网 络 管理 与 架 站 》。 


STEPE 群集 中 的 第 1 台 AD RMS 服 务 器 会 自行 建立 一 个 被 称 为 服务 器 许可 方 证 书 的 证 书 
( server licensor certificate，SLC ) ， 拥 有 此 证 书 便 可 以 对 客户 端 发 放 证 书 与 授 
权 。 请 在 图 15-2-13 中 替 这 个 SLC 命名 ， 以 便 让 客户 端 通过 此 名 称 来 识别 这 个 AD 
RMS 群 集 。 ( 加 入 此 群集 的 其 他 AD RMS 服 务 器 会 共享 这 个 SLC 证 书 ) 。 


了 配 AD RMS 醒 垃 : ADRMS.saymsjocal 
许可 方 证 书 
AD RMS | 命名 服务 器 许可 方 证 书 


AD RMS 群集 
配置 数据 库 ar 本 La 通过 此 证 书 就 可 以 建立 该 AD RMS 群集 到 客户 往 的 标 
识 。 鉴 于 此 征 书 的 重要 性 ， 我 们 推荐 你 保 知 一 份 该 证 书 的 备份 ， 以 便 在 远 到 硬件 故障 或 者 AD 
服务 帐户 RMS 数据 库 服务 器 去 失 时 ， 可 以 保护 你 的 部 署 并 增强 灾难 恢复 的 能 力 . 


加 密 模 式 名 称 (Ah: 

群集 密 钥 存储 | 国有 = 一 -一 
群集 密 铀 密码 

群集 网 站 

群集 地 址 


15-2-13 


STEP 了 加 在 图 15-2- 14 中 单 击 请 和 技 钮 ， 它 会 将 AD RMS 服 务 连接 点 ( service connection 
point ，SCP ) 注册 到 AD_DS 数 据 库 内 ， 以 便 让 客户 端 通过 AD DS 找 到 这 合 AD 
RMS 服 务 器 。 


了 想 AD RMS 配置 : ADRMS.saymsJocal 


SCP 注册 
ADRM5 | 注册 AD RMS 服务 连接 点 


AD RMS 群集 | 
配置 数据 库 可 以 在 创建 AD RMS 群集 时 在 Active Directory 域 骤 务 (AD DS) 中 注册 AD RMS 服务 连接 点 
| (SCP)。SCP 为 客户 旋 担 供 了 AD RMS 群集 的 Intranet URL 


服务 帐户 若 要 立即 注册 服务 连接 点 (SCp) , 你 必须 是 企业 管理 员 组 的 成 员 。 如 果 你 不 是 企业 管理 员 组 的 成 
加 密 模 式 员 , 则 必须 在 安装 客人 AD RMS 后 让 企业 管理 员 组 的 成 员 注册 SCP。 在 注册 SCP 之 前 ,客户 铁 无 
群集 密 钥 存储 Di 

群集 密 钥 密码 国立 BD 注 册 SCp 人 ) 

群集 网 站 O MEHscp 昌 

虹 集 地 址 

许可 方 证 书 


图 15-2-14 
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用 来 将 AD RMS SCP 注 册 到 AD DS 的 用 户 账 户 必须 是 隶属 于 域 Enterprise Admins 组 ， 如 
果 是 利用 其 他 用 户 登 录 与 安装 Active Directory Rights Management Services 的 话 ， 则 该 用 
户 必 须 先 被 加 入 到 Enterprise Admins 组 内 ， 安 装 完成 后 ， 就 可 以 将 其 从 此 组 内 删除 。 


STEPE 四 出 现 确认 安装 选择 界面 时 单 击 萝 咪 按 钮 ， 安 装 完成 后 单 击 病 普 坟 钮 。 

STEPE 到 完成 安装 后 ， 当 前 登录 的 用 户 账户 ( 域 Administrator ) 会 被 加 入 到 本 地 AD RMS Enterprise 
系统 管理 员 组 内 ， 此 用 户 有 权限 管理 AD RMS ( 可 通过 Windows 管 理工 具 QActive 
Directory Rights Management Services ) ， 不 过 此 用 户 必 须 先 注销 再 重新 登录 才 有 效 。 


注销 后 再 重新 登录 才 会 更 新 用 户 的 访问 令 牌 access token ) ， 如 此 用 户 才 具备 本 地 AD 
RMS Enterprise 系统 管理 员 组 的 权限 。 


建立 存储 权限 保护 文件 的 共享 文件 夹 


我 们 要 建立 一 个 共享 文件 夹 ， 然 后 将 文件 所 有 者 的 权限 保护 文件 放 到 此 文件 夹 内 ， 以 便 
文件 接收 者 可 以 到 共享 文件 夹 来 访问 此 文件 。 此 范例 要 将 共享 文件 夹 建立 在 域 控制 器 DC 内 
也 可 以 建立 在 其 他 计算 机 内 。 如 果 要 通过 将 文件 存储 到 U 盘 的 方式 来 练习 的 话 ， 则 可 省 略 
以 下 步骤 ) 。 


STEP 冬 ”请 到 域 控制 器 DC 上 利用 域 Administrator 身 份 登录 : 【 打开 文件 资源 管理 器 人 单 击 此 电脑 


3 双击 C: 磁 盘 3 右 击 右 侧 空白 处 Q 新 建 3 文 件 夹 2 输入 文件 夹 名 称 ， 假 设 为 public 】。 
STEP 贺 ”选中 文件 来 public 右 击 共 享 3 特 定 用 户 3 如 图 15-2-15 所 示 赋 予 Everyone 读 取 / 写 入 


权限 2 单 击 咽 训 过 钮 。 


图 15-2-15 


STEP 图 出现 你 的 文件 夹 已 经 共享 界面 时 单 击 删 油 塘 钮 。 
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测试 AD RMS 的 功能 


我 们 先 在 客户 端 计算 机 Win10PC1 上 安装 Microsoft Word 2013， 然 后 利用 George 身 份 登录 
与 建立 权限 保护 文件 ， 最 后 利用 Mary 身 份 登录 来 访问 此 文件 。 


邻 限制 只 能 够 读 取 文 件 ， 不 能 打印 、 复 制 文件 


STEP 税 ”到 客户 端 计算 机 Win10PC1 上 利用 george@sayms.local 身 份 登录 、 安 装 Microso 纺 
Word 2013 ( 可 能 需要 输入 具备 系统 管理 员 权 限 的 账户 与 密码 ) 。 

STEP 加 通过 【 单 击 左下 角 开 始 图 标 国 Q 控 制 面 板 令 网络 和 Internet 信 Internet 选 项 信安 全 选项 
卡 3 单 击 本 地 Intranet2 单 击 辆 国 和 过 钮 2 单 击 安 钮 3 输入 
http:/ladrms.sayms.local2 单 击 泗 出 按钮 2.… 】 的 方法 将 AD RMS 群 集 站 点 加 六 到 杰 
地 Intranet 网 络 的 安全 区 域 中 。 

STEP 图 单 击 左 下 角 开 始 图 标 田 QMicrosoft Office 2013 驴 执行 Microsoft Word 2013 来 新 建 一 
个 文件 然 后 单 击 左 上 角 文 件 人 如 图 15-2-16 所 示 单 击 保护 文档 令 限 制 访 问 人 连接 到 
权限 管理 服务 器 并 获取 模板 。 


图 15-2-16 


若 出 现 如 图 15$-2-16 所 示 的 警告 界面 的 话 ， 可 能 是 未 在 STEP 加 将 http:/adrms.sayms,local 
加 入 到 本 地 Intranet。 
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上 
Microsoft Word 尺 


您 的 计算 机 未 设置 信息 权限 管理 (IRM)。 要 设置 IRM ， 请 登录 到 Offce 
, 打开 现 有 的 受 IRM 保护 的 消息 或 文档 ,或 者 与 您 的 技术 支持 人 员 联 
系 。 


图 15-2-17 


接 下 来 请 如 图 15-2-18 所 示 【 单 击 保护 文档 2 限制 访问 纺 限制 访问 】。 


图 15-2-18 


人 2-19 中 勾 选 限制 对 此 文档 的 权限 ， 然 二 以 
确 按钮 。 和 区 由 语 具 而 乱 所 。 local。 如 
Na 步 开放 权限 的 话 ， 单 击 蕊 他 多 观 按钮 ， 然 后 通过 图 15-2-20 来 设置 ， 由 此 
可 知 还 可 以 设置 文件 到 期 日 期 、 是 否 可 打印 文件 内 容 、 是 否 可 复制 内 容 等 。 
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15-2-20 
STEP 加 ”通过 左上 和 角 的 另存 为 将 文件 存储 到 共享 文件 来 \DC\Public 内 ， 假 设 我 们 要 将 文件 名 
设置 为 ADRMS 测 试 文件 .doex， 此 时 可 直接 输入 \DC\Public\ADRMS 测 试 文件 。 

STEP 加 “注销 ， 改 用 用 户 账 户 mary@sayms.local 登 录 。 
STEP 图 “通过 【 单 击 左 下 角 开 始 图 标 田 Q 控 制 面板 仿 网 络 和 Internet 人 Internet 选 项 信安 全 选项 
卡 2 单 击 本 地 Intranet2 单 击 庆生 上 锯 > 单 击 国 国 扩 锯 2 栓 入 
http://adrms.sayms.local3 单 击 别 按钮 2.. 】 的 方法 将 AD RMS 群 集 网 站 加 入 到 本 

地 Intranet 网 络 的 安全 区 域内 。 


as 
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STEP 图 单 击 左下 角 开 始 图 标 田 3Microsoft Office 2013 人 执行 Microsoft Word 2013 人 打开 
NDCNpublic\ADRMS 测 试 文件 .docx 路 径 下 的 文件 。 
STEP 上 对 ”验证 成 功 后 会 出 现 图 15-2-21 的 界面 与 文件 内 容 ， 由 此 可 知 这 份 文 件 的 权限 受到 限 
制 ， 无 法 另存 为 、 也 无 法 打印 文件 ( 包含 通过 按 
建 或 出 | + 画 5 弹 刍 、 而 且 选 择 文件 的 任何 内 容 后 右 击 并 无 法 选择 复制 过 药 
全 如 果 Mam 想 要 向 交 伯 所 者 George 索 取 其 他 权限 的 话 ， 可 以 通过 【 单 击 窜 帮 机 限 
按钮 人 请 求 附 加 权限 】 的 方法 来 发 送 索取 权限 的 邮件 给 Georgeo 


人 @ Faspa BRESRM RENR 广 96 从 | 下 看 9RR- | 


这 是 受 ADRMS 保护 的 测试 文件 ， 


图 15-2-21 
令 限制 邮件 转发 


如 果 是 通过 Microsoft Outlook 来 收发 邮件 的 话 ， 还 可 以 限制 收 件 人 不 能 转发 邮件 : 在 
Microsoft Outlook 2013 的 新 建 电 子 邮件 窗口 内 完成 邮件 内 容 的 输入 后 【 单 击 左上 角 的 文件 2 
如 图 15-2-22 所 示 单 击 设置 权限 仿 不 可 转发 】， 收 件 人 收 到 邮件 后 ， 如 图 15-2-23 所 示 只 能 阅读 
此 邮件 ， 无 法 转发 ， 也 无 法 打印 或 复制 邮件 内 容 。 


如 果 要 练习 邮件 转发 限制 的 话 ， 可 直接 利用 我 们 前 面 所 搭建 的 测试 环境 ， 不 过 还 需要 搭 
建 一 全 Microsoft Exchange Server， 并 为 发 件 人 与 收 件 人 在 Exchange 服 务 器 内 建立 电子 邮 
件 信 箱 ， 另 外 还 需要 在 客户 端 计算 机 安装 Microsoft Outlook。 


未 克 名 - 事件 IHTMU ? 一 局 关 


未 命名 
5 


| “ 设 村 此 项 目的 隐 抽 人 0， 可 以 肌 币 收 件 人 站 依 人 转发 多 于 子 痢 件 、 


Er 无 承 抽 访问 问 划 ) 
本 


下” 当 区 文件 奖 到 导 接 


图 1$-2.22 
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吏 丈 
2017-12-12 (周二 ) 19.56 
shanjun.li <shanjunJi@163.com> 
烙 


这 是 机 密 文 件 这 是 机 密 文件 这 是 机 密 文件 这 是 机 密 文 件 这 是 机 密 文件 


图 15-2-23 
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分 布 式 文件 系统 (Distributed File System，DFS) 可 以 提高 文件 的 访问 效率 、 提 高 文件 的 
可 用 性 与 分 散 服务 器 的 负载 。 

站 分 布 式 文件 系统 概述 

沁 分 布 式 文件 系统 实例 演练 

站 客户 端的 引用 设置 
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16.1 分布 式 文 件 系统 概述 


通过 分 布 式 文件 系统 (DEFS) 将 相同 的 文件 同时 存储 到 网 络 上 多 人 台 服 务 器 后 ， 便 可 以 拥 
有 以 下 功能 : 


浊 提高 文件 的 访问 效率 : 当 客 户 端 通过 DFS 来 访问 文件 时 ，DEFS 会 引导 客户 端 从 最 接近 
客户 端的 服务 器 来 访问 文件 ， 让 客户 端 快速 获取 到 所 需要 的 文件 。 
实际 上 DEFS 是 为 客户 端 提 供 了 一 个 服务 器 列表 ， 这 些 服务 器 内 都 有 客户 端 所 需要 的 
文件 ， 但 是 DFS 会 将 最 接近 客户 端的 服务 器 ， 例 如 跟 客户 端 同一 个 AD DS 站 点 
(Active Directory Domain Services site ) ， 放 在 列表 的 最 前 面 ， 以 便 让 客户 端 优先 从 
这 台 服 务 器 来 获取 文件 。 

浊 提高 文件 的 可 用 性 : 即使 位 于 服务 器 列表 中 最 前 面 的 服务 器 意外 故障 了 ， 客 户 端 仍 。 
然 可 从 列表 中 的 下 一 台 服 务 器 来 取得 所 需 的 文件 ， 也 就 是 说 DFS 提 供 容错 功能 。 

涪 服务 器 负载 均衡 功能 : 每 一 个 客户 端 所 获得 列表 中 的 服务 器 排列 顺序 可 能 都 不 相 
同 ， 因 此 它们 所 访问 的 服务 器 也 可 能 不 相同 ， 也 就 是 说 不 同 客户 端 可 能 会 从 不 同 服 
务 器 来 获取 所 需 的 文件 ， 因 此 可 以 分 担 服务 器 的 负载 。 


Windows Server 2016 是 通过 文件 和 存储 服务 角色 内 的 DFS 命 名 空间 与 DFS 复制 这 两 个 服 
务 来 搭建 DFS 的 。 下 面 根据 图 16-1-1 来 说 明 DFS 中 的 各 个 组 件 : 


外 DEFS 命 名 空间 : 可 以 通过 DFS 命 名 空间 来 将 位 于 不 同 服务 器 内 的 共享 文件 夹 集合 在 
一 起 ， 并 以 一 个 虚拟 目录 的 树 状 结构 呈现 给 客户 端 。DFS 命 名 空间 分 为 以 下 两 种 : 
国 基于 域 的 命名 空间 : 它 将 命名 空间 的 配置 信息 存储 到 AD DS 数 据 库 与 命名 空间 服 
务 器 。 如 果 建 立 多 台 命名 空间 服务 器 的 话 ， 则 它 还 具备 命名 空间 的 容错 功能 。 
从 Windows Server 2008 开 始 新 增加 了 一 种 称 为 Windows Server 2008 模式 的 基于 
域 的 命名 空间 ， 并 将 以 前 旧版 的 基于 域 的 命名 空间 称 为 Windows 2000 Server 模 
式 。Windows Server 2008 模 式 基 于 域 的 命名 空间 支持 以 访问 为 基础 的 列举 
(access-based enumeration，ABE， 或 翻译 为 访问 型 列举 ) ， 它 是 根据 用 户 的 权 
限 来 决定 用 户 能 否 看 到 共享 目录 中 的 文件 与 子 目录 ， 也 就 是 说 当 用 户 浏览 共享 目 
录 时 ， 他 只 能 够 看 到 有 权 访 问 的 文件 与 目录 。 
国 独立 命名 空间 : 它 将 命名 空间 的 配置 信息 存储 到 命名 空间 服务 器 的 登录 数据 库 
(registry ) 。 由 于 独立 镍 名 空间 只 能 够 有 一 台 命 名 空间 服务 器 ， 因 此 不 具备 命名 
空间 的 容错 功能 。 
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命名 空间 服务 器 
Ni 


e Serven) 


命名 空间 根 目录 
的 映射 目录 


命名 空间 根 目录 
(N Toot): 


Nsayms.locaf\public 


这 一 排 都 被 称 为 目录 (folden， 不 过 只 是 虚拟 目 
录 ， 它 们 映射 的 是 其 它 服务 器 内 共享 目录 ， 是 
其 它 服务 器 内 共享 目录 的 虚拟 链接 。 


图 16-1-1 


站 命名 空间 服务 器 : 用 来 控制 命名 空间 (host namespace ) 的 服务 器 。 如 果 是 基于 域 的 
命名 空间 的 话 ， 则 这 人 台 服 务 器 可 以 是 成 员 服务 器 或 域 控制 器 ， 而 且 可 以 设置 多 台 命 
空间 服务 器 ; 如 果 是 独立 命名 空间 的 话 ， 则 这 台 服 务 器 可 以 是 成 员 服务 器 、 域 控 

制 器 或 独立 服务 器 ， 不 过 只 能 够 有 一 台 命名 空间 服务 器 。 

外 命名 空间 根 目 录 : 它 是 命名 空间 的 起 点 。 如 图 16-1-1 所 示 ， 此 根 目录 的 名 称 为 
public、 命 名 空间 的 名 称 为 \sayms.local\public， 而 且 它 是 一 个 基于 域 的 命名 空间 ， 其 
名 称 是 以 域名 开头 (sayms.local ) 。 如 果 这 是 一 个 独立 命名 空间 ， 则 命名 空间 的 名 称 
会 以 计算 机 名 开头 ， 例 如 \Serverl\public。 

由 图 16-1-1 可 知 此 命名 空间 根 目 录 是 被 映射 到 命名 空间 服务 器 内 的 一 个 共享 目录 ， 默 
认 是 %SysteaDrive%NDFSRoots\Public， 它 必须 位 于 NTEFS 磁 盘 分 区 。 

汉 上 蚀 拟 目录 与 目录 了 映射: 这 些 庶 拟 目 录 分 别 映射 到 其 他 服务 器 内 的 共享 目录 ， 当 客户 
端 浏览 目录 时 ，DFS 会 将 客户 端 重 定向 到 虚拟 目录 所 映射 的 共享 目录 。 在 图 16-1-1 中 
共有 3 个 目录 ， 分 别 是 : 

国 “Pictures: 此 目录 有 两 个 目标 ， 分 别 映射 到 服务 器 Server2 的 C:\Pictures 与 Server3 的 
C:\Pictures 共 享 目 录 ， 它 具备 目录 的 容错 功能 ， 例 如 客户 端 在 读 取 目 录 Pictures 内 
的 文件 时 ， 即 使 Server2 故 障 ， 仍 然 可 以 从 Server3 的 C:\Pictures 读 到 文件 。 当 然 
Server2 的 C:\Pictures 与 Server3 的 C:\Pictures 内 所 存储 的 文件 应 该 要 相同 (同步 ) 。 

四 Database: 此 目录 有 两 个 目标 ， 分 别 映射 到 服务 器 Server3 的 C:\Database 与 Server4 
的 D:\Database 共 享 目 录 ， 也 具备 目录 的 容错 功能 。 

国 Reports: 此 目录 只 有 一 个 目标 ， 映 射 到 服务 器 Server4 的 D:\Reports 共 享 目录 ， 由 
于 目标 只 有 一 个 ， 因 此 不 具备 容错 功能 。 

六 DEFS 复 制 : 前 面 图 16-1-1 中 目录 Pictures 的 两 个 目标 所 映射 到 的 共享 目录 ， 其 提供 给 
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客户 端的 文件 必须 同步 (相同 ) ， 而 这 个 同步 操作 可 由 DEFS 复 制服 务 自动 执行 。 
DES 复 制服 务 使 用 一 个 称 为 远程 差异 压缩 (Remote Differential Compression，RDC ) 
的 压缩 算法 ， 它 能 够 检测 文件 差异 ， 因 此 复制 文件 时 仅 会 复制 有 差异 的 部 分 ， 而 不 
是 整个 文件 ， 这 可 以 降低 网 络 的 负担 。 

独立 命名 空间 的 目标 服务 器 如 果 未 加 入 域 的 话 ， 则 其 目标 所 映射 到 的 共享 文件 夹 内 
的 文件 需要 手动 同步 。 

旧版 Windows 系 统 是 通过 文件 复制 服务 (File Replication Service，FRS ) 来 负责 DFS 
文件 夹 的 复制 与 域 控制 器 SYSVOL 文 件 夹 的 复制 ， 不 过 现在 只 要 域 功 能 级 别 是 
Windows Server 2008 ( 含 ) 以 上 的 话 ， 就 会 改 由 DES 复 制服 务 来 负责 。 


拓扑 《〈topology) 一 般 用 来 描述 网 络 上 多 个 组 件 之 间 的 关系 ， 而 此 处 的 复制 拓扑 是 用 来 
描述 DFS 内 各 服务 器 之 间 的 逻辑 连接 关系 的 ， 并 让 DFS 复 制服 务 利用 这 些 关系 在 服务 器 之 间 ; 
复制 文件 。 针 对 每 一 个 文件 夹 ， 可 以 选择 以 下 拓扑 之 一 来 复制 文件 《参见 图 16-1-2) 


半 集散 (hub and spoke) : 它 将 一 台 服 务 器 当 作 中 央 节 点 ， 并 建立 与 其 他 所 有 服务 器 
(分 支 节点 ) 之 间 的 连接 。 文 件 是 从 中 央 节 点 复制 到 所 有 的 分 支 节 点 ， 并 且 也 会 从 
分 支 节点 复制 到 中 央 节 点 。 分 支 节点 之 间 并 不 会 直接 相互 复制 文件 。 

当 交错 (full mesh) : 它 会 建立 所 有 服务 器 之 间 的 相互 连接 ， 文 件 会 从 每 一 台 服 务 器 
直接 复制 到 其 他 所 有 的 服务 器 。 

习 没有 托 扑 : 可 以 自行 建立 各 服务 器 之 间 的 逻 辑 连接 关系 ， 也 就 是 自行 指定 服务 器 ， 
只 有 被 指定 的 服务 器 之 间 才 会 复制 文件 。 


集散 (hub and spoke) 拓扑 交错 (full mesh) 拓扑 


16-1-2 


可 以 根据 公司 网 络 的 带宽 、 网 络 的 地 理 位 置 与 公司 的 组 织 结构 等 来 决定 采用 哪 一 种 拓 
扑 。 但 是 不 论 选 择 了 哪 一 种 拓扑 ， 都 可 以 自行 启用 或 禁用 两 台 服 务 器 之 间 的 连接 关系 ， 例 如 
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不 想 让 Server2 将 文件 复制 到 Server3， 则 可 以 禁用 Server2 到 Server3 的 单 向 连接 关系 。 


图 16-1-2 中 的 各 种 拓扑 中 各 计算 机 之 间 的 连接 关系 并 不 是 在 硬件 上 真正 以 此 形状 来 连 


接 ， 而 是 指 在 复制 文件 时 利用 这 些 形状 所 描述 的 逻辑 连接 关系 来 复制 文件 。 


独立 命名 空间 服务 器 可 以 由 域 控制 器 、 成 员 服 务 器 或 独立 服务 器 来 扮演 ， 而 基于 域 的 命 
名 空间 服务 器 可 以 由 域 控制 器 或 成 员 服 务 器 来 扮演 。 

参与 DFS 复 制 的 服务 器 必须 位 于 同一 个 AD DS 林 ， 被 复制 的 文件 夹 必须 位 于 NTFS 磁 盘 分 
区 内 (ReFS、EAT32 与 FAT 均 不 支持 ) 。 防 病毒 软件 必须 与 DFS 兼 容 ， 必 要 时 需要 联系 防 病毒 
软件 厂商 以 便 确 认 是 否 兼容 。 

如 果 要 将 基于 域 的 命名 空间 的 模式 设 定 为 Windows Server 2008 模 式 的 话 ， 则 域 功能 级 别 
必须 至 少 是 Windows Server 2008， 还 有 所 有 的 基于 域 的 命名 空间 服务 器 都 必须 至 少 是 
Windows Server 2008 。 


16.2 分 布 式 文件 系统 实例 演练 


我 们 将 练习 如 何 来 建立 一 个 如 图 16-2-1 所 示 的 基于 域 的 命名 空间 ， 图 中 假设 3 台 服 务 器 都 
是 Windows Server 2016 Datacenter， 而 且 Server1l 为 域 控制 器 、Server2 与 Server3 都 是 成 员 服务 
器 ， 请 先 自 行将 此 域 环 境 建立 好 。 


操 司 uities 


(成 员 服 务 器 ) 


命名 空间 根 目录 
(Namespace rooft): 
Nsayms.com\public 
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图 16-2-1 中 命名 空间 的 名 称 〈 命 名 空间 根 目录 的 名 称 ) 为 public， 由 于 是 基于 域 的 命名 空 
间 ， 因 此 完整 的 名 称 将 是 \sayms.local\public 〈sayms.local 为 域名 ) ， 它 映射 到 命名 空间 服务 
器 Serverl 的 CNDFSRoots\Public 文 件 严 。 命 名 空间 的 配置 数据 会 被 存储 到 AD DS 与 命名 空间 服 
务 器 Serverl 。 另 外 ， 图 16-2-1 中 还 建立 了 文件 夹 Pictures， 它 有 两 个 目标 ， 分 别 指向 Server2 与 


Server3 的 共享 文件 夹 。 


由 于 图 16-2-1 中 各 服务 器 所 扮演 的 角色 并 不 完全 相同 ， 因 此 所 需要 安装 的 服务 与 功能 也 
有 所 不 同 : 

浊 Serverl: Server1 是 域 控 制 器 兼 命 名 空间 服务 器 ， 它 需要 安装 DEFS 命 名 空间 服务 
(DEFS Namespace service ) 。 安 装 DFS 命 名 空间 服务 时 ， 系 统 会 同时 自动 安装 DFS 管 
理工 具 ， 支 持 在 Server1 上 管理 DFS。 

浊 Server2 与 Server3: 这 两 台 目 标 服务 器 需要 相互 复制 Pictures 共 享 文件 夹 内 的 文件 ， 
因此 它们 都 需要 安装 DEFS 复 制服 务 。 安装 DFS 复 制服 务 时 ， 系 统 会 同时 自动 安装 DFS 
管理 工具 ， 支 持 在 Server2 与 Server3 上 来 管理 DFS。 


在 Server1 上 安装 DFS 命名 空间 服务 
安装 DFS 命 名 空间 服务 的 方法 为 : 【打开 服务 器 管理 器 人 单 击 仪表 板 处 的 添加 角色 和 功 


4 转 文件 和 存 鳍 卢 务 (2 个 已 安装 , 共 12 人 
皮 起 

4 国 文件 和 iSCSI 服务 (1 个 已 安装 , 共 11 人 
现 文 作 眼 务 器 (已 安 竹 ) 


和 VSS 硬 佬 


口 ] iscst 目标 最 务 器 


图 162-2 


在 Server2 与 Server3 上 安装 所 需 的 DFS 组 件 


分 别 到 Server2 与 Server3 安 装 DES 复 制服 务 : 【打开 服务 器 管理 器 忆 单 击 仪表 板 处 的 添加 
角色 和 功能 2 持续 单 击 亩 国 遇 按钮， 一 直到 如 图 16-2-3 所 示 选 择 服务 器 角色 界面 时 展开 文件 


国 4 
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和 存储 服务 2 展开 文件 和 iSCSI 服务 2 匀 选 DFS 复 制 3 单 击 呈 员 测 国 扩 钮 2…】 。 


图 1623 
在 Server2 与 Server3 上 建立 共享 文件 夹 


建立 图 16-2-1 中 文件 夹 Pictures 所 映射 的 两 个 目标 文件 夹 ， 也 就 是 Server2 与 Server3 中 的 文 
件 夹 C:\Pictures， 并 将 其 设置 为 共享 文件 夹 ， 假 设 共享 名 都 是 Pictures、 将 读 取 / 写 入 的 共享 权 
限 赋予 Everyone。 同 时 复制 一 些 文件 到 Server2 的 C:\Pictures 内 《如 图 16-2-4) ， 以 便于 验证 这 
些 文件 是 否 能 够 通过 DFS 机 制 被 自动 复制 到 Server3 。 


各 目标 所 映射 的 共享 文件 夹 应 通过 适当 的 权限 设置 来 确保 其 中 文件 的 安全 性 ， 此 处 假设 
是 将 读 取 / 写 入 的 共享 权限 赋予 Everyonee 


主页 共享 查看 
< 加 
》 一 | 点 西 修改 日 期 
Y 话机 王 生 (9 201617116 2119 
》 电 Database 201617116 21:19 


> 央 inetpub 2016/7116 21:19 
201617116 21:19 
2016/7/16 21:19 


2016/7116 21:19 
2016/7/46 21:19 
2016/7/16 21:19 
2016/7116 21:19 


STEP 到 Serverl1 上 按 旱 键 切换 到 开始 菜单 3Windows 管 理工 具 Q3DFS Management 令 如 图 
16-2-5 所 示 单 击 命名 空间 右 侧 的 新 建 命名 空间 .…。 


443 国 
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克 ; DFs 管理 
侈 | 文 叶 (操作 (A) 查看 (V) 窗口 [W) 帮助 (H) 


ECFTIEYDID 人 


图 16-2-5 


16-2-6 


STEP 图 ”在 图 16-2-7 中 设置 命名 空间 名 称 ( 例如 Public ) 后 单 击 下 


命名 空间 名 称 和 

命名 空间 类 型 

复查 设置 并 创建 命名 空间 
确认 


系统 默认 会 在 命名 空间 服务 器 的 %SystemDrive% 磁 盘 内 建立 DFSRoots\Public 共 享 目 录 、 


共享 名 为 Public、 所 有 用 户 都 有 只 读 权限 ， 若 要 更 改 设置 的 话 ， 可 单 击 图 中 的 置 
按钮 。 
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STEP 回 在 图 16-2-8 中 选择 基于 域 的 命名 空间 ， 其 默认 会 选择 Windows Server 2008 模 式 。 由 
于 域名 为 sayms.local， 因 此 完整 的 命名 空间 名 称 将 是 \sayms.local\Public。 


图 162-8 


STEP 回 。 检查 图 16-2-9 中 的 设置 无 误 后 单 击败 蕙 按钮 、 单 击 圈 汪 按钮 。 


STEP 回 ”图 16-2-10 为 完成 后 的 界面 。 2 


图 162-10 
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下 面 将 建立 图 16-2-1 中 的 DFS 文 件 夹 Pictures， 其 两 个 目标 分 别 映射 到 NServer2\Pictures 与 
NServer3\Pictures。 


新 建文 件 夹 Pictures， 并 将 目标 映射 到 NServer2\Pictures 
STEP 贺 单 击 图 16-2-11 中 \ayms.local\Public 右 侧 的 新 建文 件 夹 .…。 


图 162-11 
STEP 回 。 在 图 16-2-12 中 【 设置 文件 夹 名 称 ( Pictures ) 3 单 击 匡 曾 按 钮 2 输入 或 浏览 文件 夹 
目标 的 路 径 ， 例如 NServer2\Pictures2 单 击 哆 奸 按 钮 。 客户 端 可 以 通过 背景 图 中 
预览 命名 空间 的 路 径 来 访问 所 映射 共享 文件 夹 内 的 文件 ， 例 如 


\Wsayms.local\Public\Pictureso。 


16-2-12 


新 建 另 一 个 目标 ， 并 将 其 映射 到 NServer3\Pictures 


STEP 回 。 继续 单 击 图 16-2-13 中 绩 疯 按钮 设置 文件 夹 的 新 目标 路 径 ， 例 如 图 中 的 
\WServer3\Pictures。 完 成 后 连续 单 击 两 次 匡 呈 按钮 。 
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16-2-13 


STEP 回 。 可 在 图 16-2-14 中 单 击 辆 按钮 ， 等 到 16.2.4 小 节 复制 组 与 复制 设置 再 来 说 明 两 个 目标 
之 间 的 复制 设置。 


STEP 回 16-2-15 为 完成 后 的 界面 ， 文 件 夹 Pictures 的 目标 同时 映射 到 \Server2\Pictures 与 
NServer3\Pictures 共 享 文件 夹 。 之 后 如 果 要 增加 新 目标 的 话 ， 可 单 击 右边 的 添加 文 
件 夹 目 标 .…。 


Jefanlt-Pirst-Site-, - 


16-2-15 
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如 果 一 个 DFS 文 件 光 有 多 个 目标 的 话 ， 这 些 目标 所 映射 的 共享 文件 夹 内 的 文件 必须 同步 
(相同 ) 。 我 们 可 以 让 这 些 目标 之 间 自 动 复制 文件 以 实现 同步 ， 不 过 需要 将 这 些 目标 服务 器 
设置 为 同一 个 复制 组 ， 并 做 适当 的 配置 。 
STEP 贺 ”如 图 16-2-16 所 示 单 击 文件 夹 Pictures 右 侧 的 复制 文件 夹 ...。 


afult-yirst-Site- ASFRYER2VPicteres 
Defealt-First-Site- .、 AASERYER3VPictures 


16-2-16 


STEP 回 。 在 图 16-2-17 中 可 直接 单 击 请 时 旨 按钮 使 用 默认 的 复制 组 名 与 文件 夹 名 ( 或 自行 设置 
名 称 ) 。 


人 


16-2-17 


STEP 图 。 图 16-2-18 中 会 列 出 有 资格 参与 复制 的 服务 器 ， 单 击 病 时 和 扩 钮 。 


| AASERYER2\Pictures 作为 DFS 复制 成 员 添 加 
AASERVER3VPi ctures 作为 DFS 复制 成 员 添加 


16-2-18 
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STEP 四 请 从 图 16-2-19 选 择 主 要 成 员 ( 例如 Server2 ) ， 当 DEFS 第 1 次 开始 执行 复制 文件 的 操 
作 时 ， 会 将 这 全 主要 成 员 内 的 文件 复制 到 其 他 的 所 有 目标 。 完成 后 单 击 吕 四 史 


16-2-19 


只 有 在 第 1 次 执行 复制 文件 操作 时 ，DEFS 才 会 将 主要 成 员 的 文件 复制 到 其 他 的 目标 ， 之 
后 的 复制 工作 是 依照 所 选 的 复制 拓扑 来 复制 的 。 


STEP 回 ”在 图 16-2-20 中 选择 复制 拓扑 后 
复制 ， 才 可 以 选择 集散 拓扑 ) 。 


STEP 回 ”您 可 以 如 图 16-2-21 所 示 选 择 全 天 候 、 使 用 完整 的 带宽 来 复制 ， 也 可 以 选择 在 指定 日 
期 和 时 间 内 复制 来 进一步 设置 。 
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感 ;复制 文件 夫 向 导 一 口 X 


直 复制 组 计划 和 带 究 


步 纳 : 选择 默认 情况 下 用 于 复制 组 中 所 有 新 连接 的 复制 计划 和 沉 宽 < 
复制 组 和 已 复制 文件 夹 名 晤 大 十 握 SEm 商 下 下 


和 步 苞 : 
复制 组 和 已 夏 制 文件 卖 名 
复制 合格 

主要 成 员 

拓扑 选择 
复制 组 计划 种 离 
复查 设置 并 他 建 复制 组 
确认 


图 16222 


STEP 回 ”在 确认 界面 中 确认 所 有 的 设置 都 无 误 后 单 击 届 加 找 

STEP 回 在 图 16-2-23 中 直接 单 击 网 呈 按 钮 。 此 界面 提醒 ;如果 域内 有 多 人 台 域 控制 器 的 话 ， 
则 以 上 设置 需要 等 一 段 时 间 才 会 被 复制 到 其 他 域 控 制 器 ， 而 其 他 参与 复制 的 服务 
器 也 需要 一 段 时 间 才 会 向 域 控 制 器 索取 这 些 设置 值 。 总 而 言 之 ， 参 与 复制 的 服务 
器 可 能 需要 一 段 时 间 后 才 会 开始 执行 复制 的 工作 。 


图 16-2-23 
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STEP 轩 ”由 于 我 们 在 图 16-2-19 中 是 将 Server2 设 置 为 主要 成 员 ， 因 此 稍 后 当 DFS 第 1 次 执行 
复制 操作 时 ， 会 将 \WServer2\Pictures 内 的 文件 复制 到 \Server3\Picturess 如 图 16-2- 
24 所 示 为 复制 完成 后 在 \Server3\Pictures 内 的 文件 。 


2017112113 15:41 
201617/16 2119 


201677116 21:19 
2016171165 21:19 
201617116 21:19 
201617116 21:19 
2016/7716 2119 
201677/16 21:19 
201677/16 21:19 
201617115 21:19 


图 162-24 


在 第 1 次 复制 时 ， 系 统 会 将 原本 就 存在 \Server3\Pictures 内 的 文件 ( 如 果 有 的 话 ) 移动 到 
DfsrPrivate\PreExisting 文 件 夹 内 ， 不 过 因为 DfsrPrivate 是 隐藏 文件 夹 ， 所 以 若 要 看 到 此 文 
件 夹 的 话 : 【打开 文件 资源 管理 器 Q 单 击 查看 Q 单 击 右 侧 选 项 图 标 令 查看 取消 勾 选 隐 
藏 受 保 护 的 操作 系统 文件 ( 推荐 ) 与 选择 显示 隐藏 的 文件 、 文 件 夹 和 驱动 器 】。 


从 第 2 次 开始 的 复制 操作 ， 将 依照 复制 拓扑 来 决定 复制 的 方式 ， 例 如 如 果 复 制 拓扑 被 设置 
为 交错 的 话 ， 则 当 将 一 个 文件 复制 到 任何 一 台 服 务 器 的 共享 文件 夹 后 ，DFS 复 制服 务 会 将 这 
个 文件 复制 到 其 他 所 有 的 服务 器 。 


若 要 修改 复制 设置 的 话 ， 请 单 击 图 16-2-25 左 侧 的 复制 组 sayms.local\public \pictures， 然 后 
通过 右 侧 操作 窗 格 来 更 改 复制 设置 ， 例 如 添加 参与 复制 的 服务 器 〈 新 建成 员 ) 、 添 加 复制 文 
件 夹 〈 新 建 已 复制 文件 夹 ) 、 建 立 服务 器 之 间 的 复制 连接 〈 新 建 连接 ) 、 更 改 复制 拓扑 〈 新 
建 拓扑 ) 、 创 建 诊 断 报告 、 将 复制 的 管理 工作 委派 给 其 他 用 户 《 委 派 管 理 权限 ) 、 编 辑 复制 
组 计划 等 。 

不 论 复制 拓扑 为 何 ， 都 可 以 自行 启用 或 禁用 两 台 服 务 器 之 间 的 连接 关系 ， 例 如 不 想 让 
Server3 将 文件 复制 到 Server2 的 话 ， 请 将 Server3 到 Server2 的 单 向 连接 关系 禁用 : 【如 图 16-2-26 所 
示 打 开 背 景 图 中 的 连接 选项 卡 纺 双击 发 送 成 员 Server3 驴 取消 勾 选 在 此 连接 上 启用 复制 】。 
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图 16-2-25 


图 16-2-26 


也 可 以 通过 双击 图 16-2-27 中 已 复 制 文件 夹 选项 卡 下 的 文件 夹 Pictures 的 方式 来 筛选 文件 或 
子 目录 ， 被 筛选 的 文件 或 子 目 录 将 不 会 被 复制 。 筛 选 时 可 使 用 ?或 通配符 *， 例 如 *.tmp 表 示 排 
除 所 有 扩展 名 为 .tmp 的 文件 。 
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我 们 利用 Windows 10 客 户 端 来 说 明 如 何 访问 DFS 文 件 。【 打 开 资 源 管理 器 人 选中 此 电脑 
右 击 纺 映射 网 络 驱动 器 3 如 图 16-2-28 所 示 】， 利 用 Z: 磁 盘 来 连接 \sayms.localNpublic\pictures， 
其 中 sayms.local 为 域名 、public 为 DFS 命 名 空间 根 目录 的 名 称 、pictures 为 DFS 文 件 夹 名 称 ， 可 
能 还 必须 输入 用 户 名 称 与 密码 。 完 成 后 ， 就 可 以 通过 Z: 磁 盘 来 访问 pictures 文 件 夹 内 的 文件 


1. 也 可 以 【 按 于 + 国 键 2 输入 \sayms.localypublic 或 \sayms.local\public\ pictures 】 来 访问 
DEFS 内 的 文件 5 


2 如果 要 访问 独立 DFS 的 话 ， 请 将 域名 改 为 计算 机 名 ， 例 如 \Server5\public\ pictures， 其 

中 Server5 为 命名 空间 服务 器 的 计算 机 名 称 、public 为 命名 空间 根 目录 名 、pictures 为 
DEFS 文 件 夹 名 称 。 

如 何 知道 客户 端 所 访问 到 的 文件 是 位 于 Server2 的 Pictures 内 ， 还 是 Server3 呢 ? 可 以 利用 以 
下 方法 来 检查 : 分 别 到 Server2 与 Server3 上 利用 【【 接 于 键 切换 到 开始 菜单 人 Windows 管 理工 具 
人 计算 机 管理 人 如 图 16-2-29 所 示 来 查看 】， 此 时 只 要 检视 客户 端的 用 户 与 计算 机 名 称 〈 或 了 下 
地 址 ) 是 显示 在 Server2 或 Server3 的 界面 上 ， 就 可 以 知道 客户 端 是 连接 到 哪 一 台 服 务 器 。 

得 知 所 连接 的 服务 器 后 ， 请 将 这 人 台 服 务 器 关机 ， 然 后 再 到 Windows 10 计 算 机 来 访问 
Pictures 内 的 文件 ， 会 发 现 还 是 可 以 访问 到 Pictures 内 的 文件 ， 因 为 DFS 已 经 将 连接 重 定向 到 另 
外 一 台 服 务 器 〈 会 稍 有 延迟 ) 。 
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图 162-29 


基于 域 的 命名 空间 的 DFS 架 构 内 可 以 安装 多 台 命 名 空间 服务 器 ， 以 便 提 供 更 高 的 可 用 
性 。 所 有 的 命名 空间 服务 器 都 必须 是 隶属 于 相同 的 域 。 

首先 这 台新 的 命名 空间 服务 器 必须 安装 DFS 命 名 空间 服务 ， 接 下 来 可 到 Serverl 上 【 按 于 
键 切换 到 开始 菜单 人 Windows 管 理工 具 3DFS Management 令 如 图 16-2-30 所 示 展 开 到 命名 空间 
\saymas.local\public 马 单 击 右 侧 添 加 命名 空间 服务 器 纺 输 入 或 浏览 服务 器 名 称 〈 例 如 Server4 ) 


2 单 击 靖 攻 技 钮 】 。 


16.3 客户 端的 引用 设置 
当 DFS 客 户 端 要 访问 命名 空间 内 的 资源 〈 文 件 夹 或 文件 等 ) 时 ， 域 控制 器 或 命名 空间 服 


务 器 会 提供 客户 端 一 个 引用 列表 (referrals) ， 此 列表 内 包含 着 拥有 此 资源 的 目标 服务 器 ， 客 
户 端 会 尝试 从 列表 中 最 前 面 的 服务 器 来 访问 所 需 的 资源 ， 如 果 这 人 台 服 务 器 因 故 无 法 提供 服 
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务 ， 客 户 端 就 会 转向 列表 中 的 下 一 个 目标 服务 器 。 

如 果 某 台 目 标 服务 器 因 故 必须 暂停 服务 ， 例 如 要 关机 维护 ， 此 时 应 该 避免 客户 端 被 重 定 
向 到 这 人 台 服 务 器 ， 也 就 是 不 要 让 这 人 台 服 务 器 出 现在 引用 列表 中 ， 其 设置 方法 为 【如 图 16-3-1 
所 示 单 击 命名 空 闻 \Nsayms.local\pubic 之 下 的 文件 夹 Pictures 驴 选中 该 服务 器 右 击 纺 禁 用 文件 夹 
目标 】。 


另外 ， 要 如 何 决 定 引 用 列表 中 目标 服务 器 的 先后 顺序 呢 ? 这 可 以 通过 【如 图 16-3-2 所 示 
选中 命名 空间 \sayms.local\pubic 右 击 纺 属性 Q 引 用 选项 卡 】， 设 置 缓存 持续 时 间 、 排 序 方法 
《先后 顺序 的 ) 与 客户 端 故障 回复 。 
钨 DFs 管理 二 口 
全 文人 有” 提 (EN 坦 看 MI 窗 DW 帮助 0 击 记 
4 中 | 由 关 昌 辣 。  - - _ - -. ，， aa 


ES 沁 
了 训 网 


图 16-3-2 


当 客 户 端 取得 引用 列表 后 ， 会 将 这 份 列 表 缓 存 到 客户 端 计算 机 内 ， 以 后 客户 端 需 要 该 列 
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表 时 ， 可 以 直接 从 缓存 区 来 获取 ， 不 需要 再 向 命名 空间 服务 器 或 域 控 制 器 来 索取 ， 如 此 便 可 
以 提高 工作 效率 ， 但 是 这 份 位 于 缓存 区 的 列表 有 一 定 的 有 效 期 限 ， 这 个 期 限 就 是 通过 图 16-3-2 
中 的 缓存 持续 时 间 来 设置 的 ， 默 认 值 为 300 秒 。 


客户 端 所 取得 的 引用 列表 中 ， 目 标 服务 器 被 排列 在 列表 中 的 先后 顺序 如 下 : 


浊 目标 服务 器 与 客户 端 是 位 于 同一 个 AD DS 站 点 
此 服务 器 会 被 列 在 列表 中 的 最 前 面 ， 如 果 有 多 台 服 务 器 的 话 ， 这 些 服 务 器 会 被 随机 
排列 在 最 前 面 。 

习 目标 服务 器 与 客户 端 是 位 于 不 同 AD DS 站 点 
这 些 服务 器 会 被 排列 在 前 述 服务 器 (与 客户 端 同一 个 站 点 的 服务 器 ) 之 后 ， 而 且 这 
些 服 务 器 之 间 有 着 以 下 的 排序 方法 : 
四 最 低 成 本 (lowest cost) : 如 果 这 些 服务 器 分 别 位 于 不 同 的 AD DS 站 点 ， 则 以 站 

点 连接 成 本 (花费 ) 最 低 的 优先 。 如 果 成 本 相同 的 话 ， 则 随机 排列 。 


如 果 对 站 点 连接 成 本 ( 花费 ) 有 兴趣 的 话 ， 可 参考 另 一 本 书 《Windows Server 2016 
Active Directory 配 置 实务 》。 


国 随机 顺序 (random order ) : 不 论 目标 服务 器 位 于 哪 一 个 AD DS 站 点 内 ， 都 以 随 
机 顺序 来 排列 这 些 服 务 器 。 

国 ”排除 客户 端 站 点 之 外 的 目标 (exclude targets outside of client's site ) : 只 要 目标 
服务 器 与 客户 端 在 不 同 的 AD DS 站 点 ， 就 不 将 这 些 目标 服务 器 列 于 引用 列表 内 。 


命名 空间 的 引用 设置 会 被 其 下 的 文件 夹 与 文件 夹 目标 继承 ， 不 过 也 可 以 直接 针对 文件 来 
来 设置 ， 且 其 设置 会 覆盖 由 命名 空间 继承 来 的 设置 。 还 可 以 针对 文件 夹 目标 来 设置 ， 且 


其 设置 会 覆盖 由 命名 空间 与 文件 夹 继 承 来 的 设置 。 


当 DFS 客 户 端 所 访问 的 首选 目标 服务 器 因 故 无 法 提供 服务 时 《例如 故障 ) ， 客 户 端 会 转 
向 列表 中 的 下 一 台 目 标 服 务 器 ， 即 使 之 后 原先 故障 的 首选 服务 器 恢复 正常 了 ， 客 户 端 仍然 会 
继续 访问 这 一 台 并 不 是 最 佳 的 服务 器 《例如 位 于 另外 一 个 连接 成 本 比较 高 的 站 点 ) 。 如 果 希 
望 原来 那 一 台 首 选 服务 器 恢复 正常 后 ， 客 户 端 能 够 自动 转 回 到 此 服务 器 ， 请 勾 选 图 16-3-2 中 
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的 客户 端 故障 回复 到 首选 目标 。 


一 旦 转 回 原来 的 首选 服务 器 后 ， 所 有 新 访问 的 文件 都 会 从 这 一 合 首选 服务 器 来 读 取 ， 不 
过 之 前 已 经 从 非 首 选 服务 器 打开 的 文件 ， 仍 然 会 继续 从 那 一 台 服 务 器 来 读 取 。 


第 17 章 搭建 iSCSI 文件 服务 器 故障 转移 群集 


故障 转移 群集 〈failover cluster) 可 提供 一 个 高 可 用 性 的 应 用 程序 或 服务 的 网 络 环境 ， 本 
章 将 介绍 如 何 搭建 iSCSI SAN 文 件 服 务 器 故障 转移 群集 。 

浊 故障 转移 群集 概述 

局 建立 故障 转移 群集 实例 演练 

忆 在 群集 中 添加 节点 、 移 除 节 点 与 删除 群集 
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17.1 故障 转移 群集 概述 


我 们 可 以 将 多 台 服 务 器 组 成 一 个 故障 转移 群集 〈failover cluster) ， 这 些 服务 器 会 协同 工 
作 以 提供 一 个 高 可 用 的 应 用 程序 或 服务 环境 。 和 群集 内 每 一 台 服 务 器 被 称 为 一 个 节点 
Cnode) ， 节 点 之 间 通 过 网 络 硬 件 与 软件 连接 在 一 起 为 用 户 提供 服务 。 如 果 群 集 之 中 有 一 个 
节点 故障 的 话 ， 其 他 节点 会 接手 继续 提供 服务 ， 这 个 程序 被 称 为 故障 转移 〈failover) ， 它 让 
用 户 能 够 不 中 断 地 继续 享有 服务 器 所 提供 的 服务 。 


一 般 来 说 ， 和 群集 需要 存储 设备 来 存储 数据 ， 而 存储 设备 需 被 连接 到 群集 中 的 每 一 个 节点 
服务 器 ， 其 连接 方式 可 为 光纤 通道 〈fiber channel) 或 iSCSI (Internet SCSI) 。 


FC SAN 群集 (Fiber Channel SAN Cluster) 


我 们 以 图 17-1-1 中 的 两 节点 群集 来 说 明 FC SAN (光纤 通道 SAN) 群集 的 架构 。 两 个 节点 
服务 器 各 通过 一 块 称 为 Fiber Channel HBA 〈Host Bus Adapter) 的 适 配 卡 来 连接 到 光纤 交换 机 
(Fiber Channel Switch) ， 同 时 存储 设备 也 连接 到 此 交换 机 ， 服 务 器 与 存储 设备 之 间 所 使 用 
的 通信 协议 为 Fiber Channel Protocol (FCP) ，FCP 会 将 SCSI 指 令 封装 后 送 到 光纤 通道 上 传 
输 。 另 外 这 两 台 节 点 服务 器 也 各 有 一 块 网 卡 连接 到 客户 端 所 在 的 局 域 网 ， 它 让 客户 端 可 以 通 
过 这 两 台 节点 服务 器 来 访问 存储 设备 内 的 文件 ， 这 个 存储 设备 可 以 是 磁盘 阵列 〈disk 
array) 、 光 盘 柜 〈optical jukebox) 或 磁带 库 〈tape library) 等 。 

虚线 框 起 来 的 Storage Area Network (存储 局 域 网 ，SAN) 是 一 种 用 来 将 存储 设备 连接 到 
服务 器 的 架构 ， 在 SAN 架 构 下 ， 服 务 器 会 将 这 些 SAN 存 储 设 备 视 为 好 像 是 直接 连接 在 服务 器 
上 一 样 ， 例 如 服务 器 会 将 SAN 磁 盘 阵 列 内 的 一 个 卷 《volume) 或 一 个 逻辑 单元 号 码 〈logical 
unit number，LUN) 视 为 一 个 磁盘 《硬盘 ) ， 因 此 当 在 服务 器 上 【 按 疆 键 切换 到 开始 菜单 
2Windows 管 理工 具 人 计算 机 管理 3 存储 纺 磁 盘 管 理 】， 会 看 到 界面 上 多 了 一 个 磁盘 ， 例 如 图 
17-1-2 中 的 磁盘 1， 然 而 它 并 不 是 一 个 真正 连接 在 这 人 台 服 务 器 上 的 磁盘 ， 而 是 磁盘 阵列 内 的 一 
个 卷 或 一 个 LUN。 
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FC SAN 架 构 的 两 节点 群集 
(FC SAN 2-node Cluster) 


Ethernet Switch 


ny 


Storage Area Network ， 
Ti im 人 | 宇 写 1 惠 后 折旧 间 百 4 


17-1-1 


存储 设备 分 为 Block Level 与 File Level 两 种 类 型 ，SAN 存 储 装 置 属于 Block Level。 另 外 一 
种 被 称 为 NAS ( Network Attached Storage ) 架构 的 存储 设备 则 属于 File Level， 在 NAS 架 
构 下 ， 服 务 器 利用 网 络 驱动 器 来 连接 NAS 存 储 设备 ， 在 文件 资源 管理 器 中 可 看 到 一 个 连 
接 到 NAS 存 储 设 备 的 驱动 器 号 ， 但 是 在 磁盘 管理 界面 内 不 会 多 出 一 块 磁盘 。NAS 架 构 所 
使 用 的 通信 协议 为 NFS 或 SMB/CIEFS。 


TI 操作 
NTFS 状态 良好 (启动 页 面 文件 , 故障 转 馆 ) 59.51 GB 44.61 GB 75% 
二 [ ve NTFS ”状态 良好 (未 网 ) 500MB 104MB 21% 


图 17-1-2 
iSCSI SAN 群集 (iSCSI SAN Cluster) 


我 们 以 图 17-1-3 中 的 两 节点 群集 来 说 明 iSCSI _ SAN 群集 的 架构 。 与 FC SAN 不 同 的 是 : 在 
iSCSI SAN 〈Intemet SCSI SAN， 又 称 为 了 了 SAN) 的 架构 之 下 ， 服 务 器 与 存储 系统 之 间 只 需要 通 
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过 了 网 络 就 可 以 连接 在 一 起 。 两 台 节 点 服务 器 可 以 通过 以 下 两 种 方式 之 一 来 连接 存储 系统 : 


iSCSI SAN 架 构 的 两 节点 群集 - 1 
(iSCSI SAN 2-node Clustem) 


Ethernet 交 换 机 


局 域 网 ( LAN ) “ 呈 


OUCCECITT 


节点 1 国 高 如 网卡 


iSCSI 发 起 程序 


ea 


CORECIICE 


Storage Area Network : 
(SAN) 一 一 汪 


er 


图 17-1-3 


站 安装 iSCSI HBA 卡 : iSCSI HBA 卡 内 包含 iSCSI 发 起 程序 (iSCSI initiator 
firmware ) ， 服 务 器 利用 iSCSI 启动 器 将 SCSI 指 令 封 装 后 发 送 到 卫 网 络 上 传输 。 由 于 
服务 器 在 处 理 整 个 TCP/PP 协 议 栈 时 会 耗费 大 量 的 CPU 资源 ， 因 而 可 能 会 影响 到 服务 
器 运行 效率 ， 此 时 可 以 改 采用 TOE iSCSI HBA 卡 来 改善 效率 ， 因 为 这 些 比 较 耗 费 
CPU 资源 的 工作 会 改 由 拥有 TOE ( TCP Offload Engine ) 功能 的 iSCSI HBA 卡 来 完 
成 。 

站 安装 1Gb/s ( 含 ) 以 上 的 高 速 Ethernet 网 卡 : 此 时 需要 在 节点 服务 器 上 另外 安装 iSCSI 
发 起 程序 软件 。 


两 台 节 点 服务 器 通过 iSCSI HBA 或 高 速 Ethernet 网 卡 连接 到 高 速 Etheret 交换 器 ， 同 时 存 
储 系统 也 连接 到 此 交换 器 。 服 务 器 与 存储 系统 之 间 所 使 用 的 通信 协议 为 iSCSI Protocol。 


为 了 能 够 有 良好 的 网 络 传输 效率 ， 因 此 应 该 采用 高 速 的 1Gb/s 或 10Gb/s ( 或 更 高 速 ) 网 
卡 与 交换 机 。 


图 17-1-3 中 的 存储 系统 内 包含 着 目标 〈target) 与 存储 设备 ， 服 务 器 先 连 接 到 目标 ， 再 通 
过 目标 来 访问 存储 设备 。 服 务 器 会 将 通过 目标 所 连接 到 的 SAN 存 储 设 备 视 为 好 像 是 直接 连接 
在 服务 器 上 一 样 。 两 台 服 务 器 也 各 有 一 块 网 卡 连接 到 客户 端 所 在 的 局 域 网 ， 它 让 客户 端 可 以 
通过 这 两 台 服 务 器 访问 存储 设备 内 的 文件 。 

图 17-1-3 中 存储 系统 内 的 目标 可 由 图 17-1-4 中 的 目标 服务 器 来 蔡 代 ， 这 人 台 目 标 服 务 器 可 以 
安装 常规 操作 系统 〈 例 如 Windows Server 2016) ， 然 后 在 其 内 安装 目标 服务 器 软件 ， 而 存储 
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设备 可 以 是 这 人 台 服 务 器 内 的 普通 磁盘 (PATA、SATA、SCSI、USB、FireWire 等 存储 媒体 ) ， 
或 是 连接 在 这 人 台 服 务 器 上 的 磁盘 阵列 ， 或 是 直接 利用 现 有 磁盘 内 的 文件 来 模拟 成 虚拟 磁盘 。 


iSCSI SAN 架 构 的 两 节点 群集 - 2 
(iSCSITSAN 2-node Cluster 


Ethernet 交 换 机 
局 域 网 LAN ) “| 上 和 


:或 高 速 网 卡 
: iSCSI 发 起 程序 


OOEOECTEC 


当 群 集中 的 节点 故障 时 ， 会 由 其 他 节点 接手 来 继续 提供 服务 ， 不 过 当 节 点 之 间 通 信 有 问 
题 或 太 多 节点 故障 时 ， 群 集 就 会 停止 服务 ， 可 是 群集 可 以 容忍 多 少 个 节点 故障 呢 ? 这 要 由 仲 
裁 设 置 (quorum configuration ) 来 决定 ，quorum 的 中 文 就 是 法 定数 量 的 意思 ， 也 就 是 只 要 群 
集中 仍然 正常 工作 的 节点 数量 达到 法 定数 量 (quorum， 仲 裁 数 量 ) ， 和 群集 就 会 继续 提供 服 
务 ， 和 否则 就 停止 服务 。 在 停止 服务 期 间 ， 仍 然 正 常 的 节点 会 继续 监听 故障 节点 是 否 恢 复 正 
常 ， 一 旦 正常 节点 的 数量 恢复 到 仲裁 数量 时 ， 和 群集 就 会 继续 提供 服务 。 

在 计算 仲裁 数量 时 ， 有 的 仲裁 设置 会 使 用 到 见证 磁盘 〈witness disk) ， 也 称 为 仲裁 磁盘 
(quorum disk) 。 传 统 的 仲裁 设置 分 为 以 下 几 种 : 


让 节点 多 数 (Node Majority ) 
这 种 设置 不 会 使 用 到 见证 磁盘 ， 而 所 谓 节点 多 数 就 是 正常 节点 数量 占 多数 时 群集 才 会 提 
供 服务 ， 否 则 就 停止 服务 。 此 种 设置 适用 于 奇数 节点 的 群集 。 例 如 ，5 个 节点 的 群集 ， 
其 正常 节点 的 数量 必须 至 少 为 3 个 (3 就 是 仲裁 数量 quorum ) ， 和 群集 才 会 提供 服务 。 

站 节点 和 磁盘 多 数 (Node and Disk Majority ) 
适用 于 偶数 节点 的 群集 ， 它 在 计算 法 定数 量 时 会 将 见证 磁盘 计算 进来 ， 例 如 4 个 节点 
+1 个 见证 磁盘 的 群集 ， 也 就 是 它 是 5 个 节点 的 群集 (为 了 方便 解释 ， 以 下 将 见证 磁盘 
也 视 为 1 个 节点 ) ， 此 时 正常 节点 的 数量 必须 至 少 3 个 ， 和 群集 才 会 提供 服务 。 

站 节点 和 文件 共享 多 数 (Node and File Share Majority ) 


国 42 


第 17 章 措 建 SCSI 文件 服务 器 故障 转移 群集 “| 时 时 


它 与 节点 和 磁盘 多 数 类 似 ， 不 过 将 见证 磁盘 改 为 见证 文件 ， 也 就 是 使 用 共享 文件 夹 
内 的 文件 。 
淖 无 多 数 : 仅 磁盘 (No Majority: Disk Only ) 
只 要 见证 磁盘 脱 机 的 话 ， 群 集 就 会 停止 提供 服务 ( 不 建议 采用 ) 。 
除了 见证 磁盘 和 见证 文件 之 外 ，Windows Server 2016 也 允许 将 见证 放 到 Microsoft Azure 
云端 〈 需 要 Azure 存 储 账 号 ) 。 
群集 工作 的 基本 原理 是 : 仍然 正常 工作 的 节点 数量 至 少 需要 达到 法 定数 量 ， 和 群集 才 会 继 
续 提 供 服 务 ， 否 则 就 停止 服务 ， 这 个 法 定数 量 就 是 所 谓 的 仲裁 数量 〈quorum) 。 但 是 要 如 何 
来 决定 这 个 仲裁 数量 的 数值 呢 ? 它 的 原则 就 是 仍然 正常 工作 的 节点 数量 需 占 多 数 ， 例 如 : 


半 5 节点 的 群集 : 此 时 仍然 正常 工作 的 节点 数量 至 少 需要 3 个 节点 ， 因 此 仲裁 数量 是 3， 
换 名 话说， 最 多 仅 允 许 2 个 节点 故障 。 若 3 个 节点 故障 的 话 ， 正 常 节点 仅 剩 下 2 个 ， 此 
时 正常 节点 占 少数 ， 故 群集 会 停止 服务 。 

站 4 节点 的 群集 : 此 时 仍然 正常 工作 的 节点 数量 至 少 需要 3 个 节点 ， 因 此 仲裁 数量 是 3， 
换 名 话说， 最 多 仅 允 许 1 个 节点 故障 。 若 2 个 节点 故障 话 ， 则 正常 节点 仅 剩 下 2 个 ， 并 
未 占 多 数 ， 故 群集 会 停止 服务 。 

站 4 节点 +1 个 见证 磁盘 的 群集 : 你 可 以 将 其 视 为 5 个 节点 的 群集 ， 此 时 仍然 正常 工作 的 节 
点 数量 至 少 需要 3 个 节点 ， 因 此 仲裁 数量 也 是 3， 换 句 话 说， 最 多 允许 2 个 节点 故障 。 


Windows Server 2016 具 备 动 态 仲裁 数量 (dynamic quorum) 功能 ， 它 会 自动 调整 仲裁 数 
量 ， 例 如 : 


沁 5 节点 的 群集 : 原本 的 仲裁 数量 是 3， 若 1 或 2 个 节点 故障 ， 和 群集 会 正常 提供 服务 。 此 
时 若 第 3 个 节点 也 故障 了 ， 正 常 节点 只 剩 下 2 个 (未 达 的 仲裁 数量 3 ) ， 原 本 应 该 要 停 
止 提供 服务 的 ， 但 是 因为 有 动态 仲裁 数量 功能 ， 它 会 将 仲裁 数量 自动 由 3 降 为 2， 让 
正常 节点 数 (2) 仍然 有 达到 仲裁 数量 (2 ) 的 要 求 ， 因 此 群集 会 继续 提供 服务 。 

外 4 节点 的 群集 : 原本 的 仲裁 数量 是 3， 若 1 个 节点 故障 ， 和 群集 会 正常 提供 服务 。 此 时 若 
第 2 个 节点 也 故障 了 ， 正 常 节点 只 剩 下 2 个 (未 达 的 仲裁 数量 3 ) ， 原 本 应 该 要 停止 提 
供 服务 的 ， 但 是 因为 有 动态 仲裁 数 量 功能 ， 它 会 自动 将 仲裁 数量 由 3 降 为 2， 让 正常 
节点 数 (2) 仍然 有 达到 仲裁 数量 (2) 的 要 求 ， 因 此 群集 会 继续 提供 服务 。 


Windows Server 2016 也 具备 动态 见证 〈dynamic witness) 功能 。 例 如 若 您 在 群集 内 有 建 
立 见 证 磁盘 的 话 ， 则 系统 会 自动 判断 是 否 要 将 此 见证 磁盘 拿 来 计算 仲裁 数量 〈 也 就 是 是 否 要 
让 见证 磁 盘 拥有 仲裁 票 。 群 集中 的 所 有 节点 预 设 都 拥有 仲裁 票 ， 但 是 也 可 以 更 改 此 默认 
值 ) 。 原 则 上 是 保持 节点 数量 〈 含 见证 磁盘 ) 为 奇数 ， 例 如 : 


站 4 节点 的 群集 : 此 偶数 节点 群集 ， 原 本 的 仲裁 数量 是 3， 只 允许 1 个 节点 故障 ， 但 是 动 
态 见 证 磁盘 功能 会 自动 将 见证 磁盘 加 入 来 计算 仲裁 数量 ， 因 此 变 成 5 个 节点 ， 仲 裁 数 
量 仍然 是 3， 但 是 却 可 以 允许 2 节点 故障 时 群集 仍然 会 正常 提供 服务 。 
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当 5 节点 的 群集 : 此 奇数 节点 群集 的 仲裁 数量 是 3， 允 许 2 个 节点 故障 ， 不 需要 将 见证 磁 


盘 加 入 来 计算 仲裁 数量 。 
系统 默认 会 启用 动态 仲裁 数量 与 动态 见证 ， 而 您 可 以 利用 【 单 击 左下 角 开 始 图 标 
国 > windows PowerShell】， 然 后 执行 以 下 指令 来 查看 ， 如 图 17-1-5 所 示 ; 


Get-Clustezr1|ft narmey DynamicQOuorum， WitnessDynamicWeIght 


| 加 千 弄 员 : Windows PowerShell 


图 17-1-5 


17.2 建立 故障 转移 群集 实例 演练 


我 们 将 通过 图 17-2-1 来 演练 如 何 搭建 一 个 iSCSI SAN 两 节点 的 文件 服务 器 故障 转移 群集 ， 


其 仲裁 设置 默认 为 节点 和 磁盘 多 数 。 
iSCSI SAN 架 构 的 两 节点 文件 服务 器 群集 


PE 
域 sayms.local Windows Server 2016 
域 控制 器 与 DNS 服务 器 } 


卫 :192.168.820024 
DNS:192.168.8 200 全 
， 默认 网 关 :192.168.8.254 

MY DNS:192.168.8.200 


IP192.168.81/24~， P192.1689.1124 IP:192.1689.2024 

默认 网 关 :192.168.8.254 给 private 网 络 (192.168.9.0) 2 

DNS:192.168.8.200 | 三 
IP-192.168.10.1124 下 192.168-10.2/24 

siSCSL 网 络 (192.168.10.0,. Node 

Nodcl Ethernet 网 卡 1 Ethernet 网 卡 WindowsServer 2016 

Windows Server 2016 二 | isScSsI 淮 节点 2， 成 员 服务 器 ) 

( 韦 点 1 成 员 服务 器 | 。 。 iSCSI 发 起 程序 人 
疡 四 已 让 台 辣 |]Ethernet 交换 机 


-一 一 


本 地 磁盘 
一 人 
C: Windows Server 2016 
Target 目标 1: quorum2 
(目标 服务 器 CNiSCSI VirtualDisks\quoraum.vhd (见证 磁盘 ) 
目标 2: fles2 
CANiSCSI VirtualDisks\filesvhd 〔 文 件 磁 胡 ) 


Lodossserver201G 委 这 服务 器 :内 牙 的 1SCSI 目 村上 务 器 软 人 


下 192.168.10.3124 


图 17-2-! 
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要 建立 图 17-2-1 中 iSCSI SAN 两 节点 群集 的 话 ， 其 软 硬 件 配备 需 符合 以 下 所 令 述 的 要 求 ， 
建议 利用 HyperV 所 提供 的 虚拟 环境 来 练习 《参见 第 5 章 ) 。 


服务 器 


搭建 群集 需要 AD DS 域 ， 群 集中 的 节点 服务 器 需要 隶属 于 同一 个 域 ， 且 应 该 扮演 同样 的 
域 角色 ， 也 就 是 都 是 成 员 服 务 器 《建议 ) 或 都 是 域 控 制 器 。 本 范例 的 域名 为 sayms.local， 图 
17-2-1 中 左上 角 的 服务 器 DC 为 域 控制 器 兼 DNS 服 务 器 ，Node1l 与 Node2 为 两 个 节点 《都 是 成 员 
服务 器 ) ， 最 下 面 那 一 台 为 目标 服务 器 ， 其 内 将 安装 Windows Server 2016 内 置 的 iSCSI 目标 服 
务 器 软件 ， 它 不 需要 加 入 域 。 

为 了 让 群集 功能 正常 运行 ， 因 此 群集 中 的 两 台 节 点 服务 器 应 该 都 要 配备 相同 或 类 似 的 硬 
件 ， 而 且 需 要 安装 相同 版 本 的 操作 系统 ， 包 含 相同 的 硬件 版 本 《32 位 、64 位 ) ， 同 时 也 要 安 
装 相同 的 Service Pack 与 软件 更 新 (update) 。Windows Server 2016 Datacenter 与 Standard 版 本 
都 具备 群集 功能 ， 这 里 两 个 节点 我 们 都 安装 Windows Server 2016 Datacenter。 为 了 方便 起 见 ， 
域 控制 器 与 目标 服务 器 都 采用 Windows Server 2016 Datacenter。 


网 络 设置 
两 台 节 点 服务 器 各 有 3 块 网 卡 ， 分 别 连 接 到 public、private 与 iSCSI 网 络 : 


站 public 网 络 : 两 台 节点 服务 器 各 有 一 块 网 卡 连接 到 public 网 络 ， 并 通过 public 网 络 与 域 
控制 器 通信 ， 客 户 端 也 通过 public 网 络 来 连接 节点 服务 器 。 

汉 private 网 络 : 两 台 节点 服务 器 之 间 需 要 随时 监听 对 方 的 『 心 跳 (heartbeat) 1 情况 ， 
以 便 得 知 对 方 是 否 故障 或 故障 后 是 否 又 恢复 正常 ， 为 了 避免 受到 其 他 网 络 流量 的 干 
扰 ， 以 便 实 时 得 知 对 方 心 跳 状 态 ， 因 此 建议 节点 之 间 通 过 专用 网 络 来 通信 ， 例 如 两 
个 节点 各 有 一 块 网 卡 连接 这 个 专用 的 private 网 络 ; 
为 了 提高 容错 能 力 ， 我 们 会 设置 让 节点 之 间 也 可 通过 前 面 的 public 网 络 来 通信 ， 它 在 
节点 之 间 因 故 无 法 通过 private 网 络 通信 时 ， 还 可 以 选择 public 网 络 。 

iSCSI 网 络 : 两 个 节点 各 有 一 块 网 卡 连接 到 iSCSI 网 络 ， 并 通过 此 网 络 来 连接 目标 服 
务 器 与 访问 存储 设备 内 的 文件 ， 这 个 网 络 应 该 仅 用 于 节点 与 目标 服务 器 之 间 使 用 
iSCSI protocol 来 通信 的 专用 网 络 ， 请 勿 作为 其 他 用 途 ， 例 如 不 要 设置 让 两 个 节点 之 
间 通 过 这 个 网 络 来 通信 。 两 个 节点 用 来 连接 iSCSI 网 络 的 网 卡 应 该 相同 ， 而 且 iSCSI 
网 络 内 应 采用 高 速 交换 机 (1Gb/s、10Gb/s 或 更 高 速 ) 。 
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为 了 避免 单一 点 故障 而 影响 到 群集 的 运行 ,建议 在 两 个 节点 与 客户 端 之 间 : 两 个 节点 与 
目标 服务 器 之 间 的 通信 链 路 采取 适当 的 容错 措施 ， 例 如 以 节点 与 客户 端 之 间 来 说 ， 可 以 
在 节点 利用 两 块 网 卡 来 连接 两 个 网 络 ， 而 通过 这 两 个 网 络 都 可 以 跟 客 户 端 沟通 。 也 可 以 
采用 teaming 网 卡 来 提供 容错 功能 ， 例 如 可 以 在 public 网 络 采用 teaming 网 卡 ， 但 是 不 要 在 
private 网 络 使 用 teaming 网 卡 ， 以 免 因 为 延迟 问题 而 影响 到 节点 之 间 通 信 的 实时 性 ， 此 外 


iSCSI 并 不 一 定 支持 teaming， 因 此 iSCSI 网 络 不 要 使 用 teaming 网 卡 。 
Teaming 就 是 将 一 台 计 算 机 内 的 多 块 物 理 网 卡通 过 驱动 程序 将 其 虚拟 成 一 块 虚 拟 网 卡 ， 
其 他 计算 机 通过 此 虚拟 网 卡 来 与 这 侣 计算机 通信 ， 但 是 数据 实际 上 是 通过 多 块 物理 网 卡 
来 传输 。Teaming 网 卡 可 以 提高 网 络 传送 速度 、 提 供 负载 平衡 与 容错 功能 。Windows 
Server 2016 已 经 内 建 网 卡 的 teaming 驱 动 程序 ， 不 需要 另外 安装 。 此 功能 在 Windows 


Server 2016 内 被 称 为 NIC Teaming ( NIC 组 ) 。 


目标 服务 器 与 存储 设备 


我 们 要 利用 Windows Server 2016 内 置 的 fiSCSI 目 标 服务 器 」 来 搭建 iSCSI 目标 服务 器 。 
本 范例 为 两 个 节点 的 文件 服务 器 群集 ， 因 此 仲裁 设置 为 节点 与 磁盘 多 数 ， 此 时 除了 存储 文件 
的 数据 磁盘 外 ， 还 需要 一 个 见证 磁盘 ， 这 两 个 磁盘 : 


区 区 区 区 


必须 是 基本 磁盘 ， 不 能 是 动态 磁盘 。 

见证 磁盘 需 被 格式 成 NTFS 或 ReFS。 

磁盘 分 区 格式 可 以 是 MBR 磁 盘 或 GPT 磁 盘 。 

本 范例 中 的 见证 磁盘 与 文件 磁盘 都 是 使 用 位 于 本 地 计算 机 CNiSCSIVirtualDisks\ 文 件 
夹 内 的 文件 来 模拟 ， 文 件 名 分 别 是 Quorum.vhdx 与 \Files.vhdx。 


我 们 将 按部就班 地 说 明 如 何 来 拱 建 图 17-2-2 的 iSCSI SAN 两 节点 文件 服务 器 群集 ， 并 请 确 
实 遵照 以 下 步骤 来 练习 、 不 要 和 急躁， 以 减少 出 错 的 概率 。 
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iSCSI SAN 架 构 的 两 节点 文件 服务 器 群集 


域 sayms.local 隐 Windows Server 2016 

域 控制 器 与 DNS 服务 器 ) 
JIP:192.168.8 200/124 | 

DNS:192.168.8200 一 一 全 cr 


1P:192.168.8.2/24 
Ethermnt 交换 机 默认 网 关 :192.168.8.254 


1Ip:192.168.8.1/24 一 一 和 | 1P192 1689.1124 本 :4 网 1689224 DNS:192.168.8.200 
默认 网 关 :192.168.8.254 priv: 2 
DNS:192.168.8.200AAA 


Nodsl Eih et 
Windows Server 2016 ER 人 网 卡 


Node 
Windows Server 2016 
{ 节 点 1， 成 员 服务 器 ) iSCSI 发 起 程序 iSCSI 发 起 程序 { 节 点 2， 成 员 服 务 器 ) 


ER VirtualDisksNqoorumvhd (见证 磁盘 ) 
目标 2: fles2 
人 case Et (文件 磁 瘟 ) 


准备 网 络 环境 与 计算 机 
请 准备 好 网 络 环境 与 4 台 服 务 器 ; 


习 


DC 的 网 卡 连接 到 public 网 络 、 目 标 服 务 器 的 网 卡 连接 到 iSCSI 网 络 ， 两 个 节点 的 3 块 
网 卡 分 别 连接 到 public、Pprivate 与 iSCSI 网 络 。 

如 果 使 用 Hyper-V 虚 拟 环境 的 话 ， 请 自行 搭建 3 个 虚拟 网 络 ， 其 雇 拟 交换 机 (虚拟 网 
络 ) 类 型 选择 私有 即 可 ( 见 第 5 章 ) 。 

目标 服务 器 要 多 准备 两 个 磁盘 。 这 两 个 磁盘 分 别 作 为 见证 磁盘 与 数据 磁 尊 (在 后 面 
的 步骤 会 建立 它们 ) ， 其 中 见证 磁盘 的 容量 建议 为 312 MB 以 上 ， 而 数据 磁盘 的 容量 
请 自 定 义 。 本 范例 将 直接 使 用 本 地 计算 机 CNiSCSIVirtualDisks\ 文 件 夹 内 的 文件 来 模 
拟 这 两 个 磁盘 ， 其 中 见证 磁盘 的 文件 名 是 Quorum.vhdx、 数 据 磁 盘 的 文件 名 是 
Files.vhdx。 

在 这 4 台 服 务 器 上 安装 Windows Server 2016 Datacenter。 安 装 完 成 后 ， 将 它们 的 计算 
机 名 称 分 别 改 为 DC、Node1、Node2 与 Target。 如 果 使 用 Hyper-V 虚 拟 机 ， 且 这 4 台 服 
务 器 是 从 现 有 永 拟 机 复制 来 的 话 (或 使 用 差异 争 拟 硬 查 的 话 ) ， 请 先 在 这 4 台 服 务 器 
上 执行 Sysprep.exe 来 更 改 其 SID 等 数据 后 ， 再 将 计算 机 名 称 分 别 改 为 DC、Node1l、 
Node2 与 Target。 

建议 更 改 两 台 节点 服务 器 内 3 块 网 卡 的 网 络 连接 名 称 ， 以 利于 识别 ， 例 如 图 17-2-3 中 
分 别 是 连接 到 public、iSCST 与 private 网 络 的 网 络 连 接 : 【 按 习 键 切换 到 开始 菜单 仿 控 
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转 4es 


制 面板 仿 网 络 和 Interriet 驴 网 络 和 共享 中 心 仿 更 改 适 配器 设置 人 分 别 选中 3 个 网 络 连接 
右 击 幻 重 命名 】 


个 时 ， 拉 和 本 时 ”网 二 和 ntemet ， 网 半 演 护 ， | 可 | 过 衣 .网络 注 六 


语 ~> 四 四 
旺 Cc2. [一 本 国 5 


ntel(R) 82574L Gigabit Netw6-、。 吧 8 intelR) 82573L Gigabit Netwo -| 二 2 IntekRJ82573L Gigabit Netwo- | 


图 17-2-3 


忆 依照 实例 演练 图 ( 图 17-2-2 ) 来 设置 4 台 服 务 器 每 一 块 网 卡 的 耳 地址 、 子 网 掩 码 、 首 


选 DNS 服务 器 与 2 个 节点 的 public 网 卡 的 默认 网 关 (如 果 未 设置 默认 网 关 的 话 ， 将 无 

法 通过 群集 配置 的 验证 程序 ， 假 设 默认 网 关 的 卫 地 址 为 192.168.8.254 ) : 【按时 键 切 “ 

换 到 开始 菜单 驴 控 制 面板 叉 网 络 和 Internet 令 网 络 和 共享 中 心 纪 单 击 待 设置 的 网 络 链接 

人 属性 Intermet 协 议 版 本 4 (TCP/IPv4) 】〗】 (本 范例 采用 IPv4 ) 。 

将 DC、NodeT、Node2 与 Target 的 Windows 防 火 墙 斩 时 关闭 : 【 按 疆 键 切换 到 开始 菜 

单 纪 控制 面板 仿 系 统 和 安全 人 Windows 防 火 墙 】. 请 将 所 有 网 络 位 置 的 防火 墙 都 关 

闭 ， 包 括 公用 网 络 与 专用 网 络 。 

务必 执行 以 下 步骤 来 测试 同一 个 子 网 内 的 服务 器 之 间 是 否 可 正常 沟通 ， 以 减少 后 面 

除 错 的 困难 度 ( 先 确认 4 台 服 务 器 的 Windows 防 火 墙 已 经 关闭 ) : 

国 到 DC 上 分 别 利用 ping 192.168.8.1 与 ping 192.168.8.2 来 确认 可 以 跟 Nodel 与 Node2 
通信 。 

国 到 Nodel 上 分 别 利 用 ping 192.168.8.200、ping 192.168.8.2、ping 192.168.9.2 与 
ping 192.168.10.3 来 确认 可 以 跟 DC、Node2 与 目标 服务 器 通信 。 

国 ， 到 Node2 上 分 别 利 用 ping 192.168.8.200、ping 192.168.8.1、ping 192.168.9.1 与 
ping 192.168.10.3 来 确认 可 以 跟 DC、Nodel 与 目标 服务 器 通信 。 

国 “ 到 目标 服务 器 Target 上 分 别 利 用 ping 192.168.10.1 与 ping 192.168.10.2 来 确认 可 以 跟 
Nodel 与 Node2 通 信 。 

通过 将 服务 器 DC 升级 为 域 控 制 器 的 方式 来 建立 域 : 【打开 服务 器 管理 器 马 单 击 仪表 

板 处 的 添加 角色 和 功能 全 ...3 添 加 Active Directory 域 服务 角色 全 ...〗】， 域 名 设置 为 

sayms.local， 完 成 后 重新 启动 。 

分 别 到 Nodel 与 Node2 上 将 它们 加 入 域 sayms.local: 【打开 文件 资源 管理 器 人 选中 此 

电脑 右 击 驴 属 性 纺 单 击 更 改 设置 纺 ...〗】。 完 成 后 重新 启动 ， 并 利用 域 sayms\Administrator 

身份 登录 。 


局 可 以 重新 启用 DC 的 Windows 防 火 墙 。 
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适当 的 节点 设置 


为 了 让 群集 运行 更 有 效率 ， 建 议 调 整 两 台 节 点 服务 器 的 设置 值 。 例 如 ， 为 了 让 两 台 节 点 
服务 器 能 够 实时 通过 private 网 络 来 监听 对 方 的 「 心 跳 」 情况 ， 因 此 应 该 避免 在 这 个 网 络 上 传 
送 其 他 不 相干 的 流量 ， 还 有 iSCSI 网 络 是 仅 用 于 节点 与 目标 服务 器 之 间 使 用 iSCSI protocol 通 信 
的 专用 网 络 ， 因 此 应 该 避免 在 这 个 网 络 上 传送 其 他 不 相干 的 流量 。 以 下 步骤 并 非 绝对 必要 ， 
但 是 却 可 以 提高 群集 运行 效率 。 


STEP 回 ”请 到 Nodel 执 行 以 下 步骤 : 【 按 加 键 切 换 到 开始 菜单 纺 控 制 面板 纺 网 络 和 Internet 了 
网 络 和 共享 中 心 纺 更 改 适 配器 设置 人 选中 Private 网 络 连 接 右 击 纺 属性 】， 然 后 如 图 
17-2-4 所 示 对 用 不 到 的 Microsoft 网 络 客户 端 与 Microsoft 网 络 的 文件 和 打印 机 共享 
协议 停 用 ( 取消 勾 选 即 可 ) 。 
因为 此 范例 是 使 用 TCP/IPv4， 因 此 建议 取消 勾 选 TCP/IPv6。 接 着 选中 Internet 协 议 版 
本 4 ( TCP/IPv4 ) 3 单 击 顷 图 扩 钮 。 

入 private 属性 
6 人 人 
| 至 IntelR) 82574L Gigabit Network Connection #2 


四 。 Microsoft LLDP 协议 驱动 程序 


( 口 )internet 访 议 且 本 
国标 路 层 定 补 败 现 唤 


和 石 央 加 
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Microsoft 网 络 客户 端 用 来 访问 网 络 上 其 他 计算 机 内 的 共享 文件 与 打印 机 ，Microsoft 网 
络 的 文件 和 打印 共享 是 让 网 络 上 其 他 计算 机 来 访问 本 地 计算 机 上 的 共享 文件 与 打印 机 。 
由 于 不 需要 通过 private 与 访 CSI 网 络 来 与 其 他 计算 机 进行 此 类 通信 ， 因 此 可 以 禁用 。 


STEP 回 。 如 图 17-2-5 所 示 不 要 设置 首选 DNS 服务 器 与 备用 DNS 服务 器 ， 然 后 单 击 下 方 秆 亚 接 
钮 。 
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Internet 协议 版 本 4 (TCP1IPv4) 屋 性 


192 .168. 9 . 1 


255 . 255 . 255 .0 
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STEP 如 图 17-2-6 所 示 取 消 义 选 DNS 选 项 卡 之 下 的 在 DNS 中 注册 此 连接 的 地 址 。 


STEP 四 如 图 17-2-7 所 示 取 消 WINS 选 项 卡 之 下 与 NetBIOS 有 关 的 功能 。 
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如 果 启 用 LMHOSTS 查找 , 它 格 应 用 于 所 有 启用 TCP/IP 的 连接 . 


(Caauonmm 7) 上 En 


NetBIOS 设置 
O 〇 哑 W(Fk 
从 DHCP 服务 器 使 用 NetBIOS 设置 。 如 打 使 用 静 志 IP 地 址 或 


DHCP 服务 器 不 提供 NetBIOS 设置 ， 则 启用 TCPAP 上 的 
NetBIOS.。 


17-2-7 


STEP 回 继续 针对 iSCSI 网 络 连 接 重 复 以 上 步骤 。 
STEP 回 -继续 到 Node2 重 复 以 上 步骤 。 


两 个 节点 需要 安装 相同 更 新 程序 ( mpdate ) ， 然 而 在 此 建议 不 要 启用 自动 更 新 功能 ， 而 


是 由 系统 管理 员 手 动 更 新 ， 以 便 能 够 确保 两 个 节点 拥有 相同 的 更 新 程序 。 如 果 要 停 用 自 
动 更 新 的 话 ， 可 以 通过 组 策略 或 本 地 计算 机 策略 ， 其 方法 为 : 【 计算 机 配置 人 管理 模板 
2Windows 组 件 Q2Windows 更 新 纺 将 配置 自动 更 新 策略 禁用 】。 


目标 服务 器 与 存储 设备 的 设置 
本 范例 中 的 见证 磁盘 与 文件 磁盘 都 是 使 用 虚拟 磁盘 ， 也 就 是 直接 使 用 目标 服务 器 C: 盘 内 
的 文件 来 模拟 ， 文 件 名 分 别 是 Quorum.vhdx 与 Files.vhdx。 


STEP 回 。 到 目标 服务 器 Target 上 【 打开 服务 器 管理 器 2 单 击 仪表 板 处 的 添加 角色 和 功能 2 持续 
单 击 j 生 按钮 一 直到 出 现 图 17-2-8 的 选择 服务 器 角色 界面 时 展开 文件 和 存储 服务 
2 展开 文件 和 iSCSI 服务 2 勾 选 iSCSI 目标 服务 器 2 单 击 讽 和 关 生 按钮 2.… 】， 安 装 完 


成 后 单 击 国 渊 拉 钮 。 
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| 本 添 n 组 色 和 功能 向 导 SS 

| 

站 日 标 笃 气 品 

| | 
开始 之 苗 应 返 要 安装 在 所 迁 服 务 孝 上 的 个 或 多 个 结 色 - | 

| ”安装 类 型 角色 岳 还 | 

1 

服务 器 选择 口 ] 网 证 第 同和 访问 服务 和 。 isCcSI 目标 服务 蕊 为 iSCSI 目标 提供 

ER 

| 国 文件 和 在 请 服务 (1 个 已 安装 , 共 12 个 ) 

功能 双 存 信服 务 (已 
确认 “加 2 iSCSI 骤 务 


口 DFs 复制 
口 DFS 命名 宝 间 | 
< | 
| 口 工作 文件 闪 生 
图 17-2-8 


@ 配置 此 本 地 服务 器 


ep 
图 17-2-9 


STEP 加 ”如 图 17-2-10 所 示 单 击 iSCSI 右 侧 圈 起 来 的 部 分 ， 或 【 单 击 在 土方 的 任务 令 新 建 
iSCSI 虚拟 磁盘 】。 


图 17-2-10 


STEP 四 。 在 图 17-2-11 选 择 iSCSI 虚拟 磁盘 的 存储 位 置 后 单 击 和 和 汪 按钮 ， 这 里 采用 默认 什 
(C: NiSCSIVirtualDisks ) ;也 可 以 通过 键入 自 定 义 路 径 来 更 改 存 储 位 置 。 
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STEP 


STEP 四 
STEP 
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职 新 建 SCSI 虚 皖 磁盘 向 导 


选择 iSCSI 虚拟 磁盘 位 置 


iSCSI 虚拟 磁盘 名 称 
“5 妆 鲁 蝶 肖 大雪 


图 17-2-11 


如 图 17-2-12 所 示 为 此 iSCSI 虚拟 磁盘 命名 ( 例如 quorum ) 后 单 击 釉 汪 加 坊 钮 。 


指定 iSCSI 虚拟 磁盘 名 称 
ET 


iSCSI 虚拟 磁盘 大 小 


图 17-2-12 


在 图 17-2-13 中 设置 虚拟 磁盘 的 大 小 ( 例如 512MB ) 后 单 击 咕 重量 扩 钮 。 

我 们 需要 将 此 虚拟 磁盘 分 配给 一 个 iSCSI 目标 ， 安 装 在 Nodel 与 Node2 的 iSCSI 启动 
器 需要 通过 iSCSI 目标 来 连接 虚拟 磁盘 。 由 于 目前 还 没有 任何 iCSI 目 标 ， 因 此 需 如 
图 17-2-14 所 示 选 择 新 建 iSCSI 有 目标 、 单 击 辆 国 轴 坟 钮 。 


-二 Windows Server 2016 系统 配置 指南 


向 新 建 isCsl 起 拟 磁 盘 向 导 


指定 iSCSI 虚拟 磁盘 大 小 


和 的 CSI 庶 拟 磁盘 位 置 可 用 空间 (P; 264230 MB 
CS| 训 所 下 盘 名称。 大 NS 《KEE 下 ] 国 本 可 > 
IEEEEESS 国 -ao 
同村 “二 型 的 磁 间 可 提供 更 好 的 性 能 ,建议 用 于 运行 具有 高 级 别 碰 盘活 动 的 应 用 程序 的 服务 器 该 上 
时 标 客 款 和 庆 所 一 在 创建 时 全 用 国定 的 上 所 痪 盘 大 小 ， 尖 加 或 聊天 近 时 ， 记 不 人 放生 更 


汪清 除 分 配 的 虚拟 磁盘 
注意 ,不 建议 取消 选中 。 梅 磁盘 清 季 检 竹 除 基础 存 情 中 焉 填 的 任何 数据 碎片 ， 因 此 可 以 防止 信 
息 泄露 


国 动态 扩 晤 (N) 
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般 新 建 iSCSI 虚 氨 磁盘 向 导 之 口 X 


分 配 iSCSI 目标 
Sciait 和 | cn 人 SC 
5Csl 应 执 磁 熏 名 称 [ 训 二 


和 CSi 虚拟 磁盘 大 小 | Readbereinwcooeeeoenorreeaamioepgageomgcieomizgpoyegqpyeaereyet en Cnsrprrryrprogrprerolrrrerorreeprrer 


17-2-14 
STEP 回 。 如 图 17-2-15 所 示 为 此 iSCSI 目标 命名 ( 例如 quorum ) 后 单 击 辆 国 加 扩 钮 。 


了 本 新 建 iSCSI 虚拟 磁盘 向 导 


指定 目标 名 称 


iCSI 虚拟 磁盘 位 置 . 


iSCSI 虚拟 磁盘 名 称 
iSCSI 庶 拟 磁盘 大 小 
iSCSI 目标 
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STEP 回 。 我们 需 如 图 17-2-16 所 示 单 击 辆 削 按 钮 来 指定 可 以 连接 此 iSCSI 虚拟 磁盘 的 iSCSI 启 
动 器 ( 安装 在 节点 Nodel 与 Node2 内 ) 。 


瑟 新 建 1SCSl 虚 拉 瑞 盘 向 导 


指定 访问 服务 器 


csl 应 投 厂 本 位 置  | iscsl 虑 拔 碍 熏 的 iSCSI 发 起 得 序 。 


i5CSI 虚拟 磁盘 和 名称 
iCSI 谍 氢 磁盘 大 小 
iSCSI 目标 
目标 名 称 和 访问 
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STEPE 在 图 17-2-17 中 的 类 型 中 选择 卫 地 址 、 输 入 Node1l 的 iSCSI 卡 IP 地 址 192.168.10.1 后 单 


击 甘 国 接 钮 。 


图 中 类 型 处 也 可 以 选择 节点 的 DNS 名 称 、MAC 地 址 或 iSCSI 启动 器 的 IQN， 其 中 IQN 需 先 
到 节点 Nodel 与 Node2 进 行 查询 ( 在 启动 iSCSI 启动 器 后 ( 后 述 ) ， 位 于 设置 选项 卡 下 的 
启动 器 名 称 处 ) 。 


运 加 发 起 程序 1D 
选择 用 于 标识 发 起 程序 的 方法 : 


O 〇 查询 发 扫 程 序 计算 机 iD (Windows Server 2008 R2、 
Windows 7 或 BR/ 芥 类 本 不 支持 JQj: 
SS | 


图 17-2-17 


十 Windows Server 2016 系统 配置 指南 


STEPE 辐 继续 单 击 图 17-2-18 中 的 库 测 按钮 将 Node2 的 iSCSI 启动 器 加 入 到 可 连接 iSCSI 虚拟 


磁盘 的 允许 列表 内 。 
瑟 新 建 iSCSI 皮 拟 磁盘 向 导 -人 
指定 访问 服务 器 
icsi 起 所 下 盘 位 村 单 击 话 加 "以 指定 将 访问 此 iSCSsT 直 我 碰 盘 的 iSCSI 发 起 程序 。 
ECsl 度 拟 琶 盘 名 称 有 
isCS| 虚拟 磁盘 大 小 ipAddress 192.168.10.1 
ICSI 目标 
目标 名 称 和 访问 
启用 验证 服务 
RS 下 二 二 


图 17-2-18 


STEP 因 ”如 图 17-2-19 所 示 输 入 Node2 的 iSCSI 网 卡 的 IP 地 址 。 


瑟 添 jn 发 起 程序 1D 
选择 用 于 标识 发 起 程序 的 方法 : 


口 查 旬 发 扫 得 序 计算 机 ID (Windows Server 2008 R2. 
Windows 7 或 前 版 本 不 支持 JQj: 


EEC 


全 从 目标 服务 咱 上 的 发 起 程序 捧 存 中 选 泽 (S). 


em， 草 W: 
[23465102 
图 17-2-19 
STEP 加 。 在 图 17-2-20 中 直接 单 击 盖 轩 加 拉 钮 。 
下 新 建 iSCSI 虚拟 磁盘 向 导 = 壮 冯 - 下 汉 
指定 访问 服务 器 
i5CS 虚拟 磁盘 位 置 单 击 - 添 加 "以 揪 定 梅 访问 此 语 CSI 虚 裤 磁盘 的 iSCSI 发 起程 序 . 
否 CS| 虚拟 磁 均 名 称 
CSs| 虚拟 磁盘 大 小 | 192.168.101 
CS 目标 | 192.168.10.2 
目标 名 称 和 访问 
启用 验证 最 务 
税 试 
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STEPE 四 出 现 启用 身份 验证 界面 时 直接 单 击 蕊 国 呈 拉 钮 


可 以 要 求 鸭 CSI 启 动 器 端 ( 群集 节点 ) 必须 经 过 验证 后 才 可 以 连接 iSCSI 虚拟 磁盘 ， 其 方 
法 为 【 色 选 启用 身份 验证 界面 中 的 启用 CHAP， 然 后 分 别 设 置 用 户 名 与 密码 】， 在 iSCSI 
启动 器 端 必须 提供 此 处 的 用 户 名 与 密码 后 才 可 以 连接 iSCSI 虚拟 磁盘 。 反 过 来 说 ，iSCSI 
启动 器 端 也 可 以 验证 iSCSI 目标 ， 此 时 需要 勾 选 启用 身份 验证 界面 中 的 启用 反 向 CHAP， 
然后 输入 iSCSI 启动 器 端 所 指定 的 用 户 名 与 密码 。 


STEP 加 。 确认 图 17-2-21 的 设置 无 误 后 单 击 炎 渍 拉 钮 。 完 成 后 单 击 国 汪 按 钮 。 


到 新 建 scsl 点 抽 丰 自 册 全 oreoe 关 ] 
iSCSI 虚拟 磁盘 位 置 确认 以 下 设置 正确 无 误 ， 然 后 单 击 "创建 `。 
iSCSI 点 拟 矶 纸 名 称 iSCSI 志 拓 三 盘 位 置 
iSCSI 庶 撤 磋 盘 大 小 服务 器- Te 
二 CSi 呈 标 除 入 他 仑 - 未 合集 
自 标 名 称 和 沪 问 re 
访问 最 务 名 E5CS)I 虚 扳 磁 去 属性 
启用 验 三 服务 于 

大 ds 512 MB 
目标 一 性 

名 称 : quorum 
访问 最 各 器 

息 地 址 : 192.168.10.1 
ipP 部 址 : 192.168.102 
去 全 

CHAFP- 

反 向 CHAP: 已 禁用 


HE 


图 17-2-21 


STEP 上 加 图 17-2-22 为 完成 后 的 界面 ， 上 半 部 为 所 建立 的 iSCSI 虚拟 磁盘 、 下 半 部 为 iSCSI 有 
标 。 
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如 果 要 更 改 iSCSI 虚 拟 磁 盘 或 iSCSI 目标 的 设置 ， 可 直接 选中 记 CSI 虚 拟 磁 盘 或 iSCSI 目标 
右 击 ， 然 后 通过 菜单 来 设置 。 


STEPEE 回 ” 单 击 图 17-2-22 右 上 方 任务 处 新 建 iSCSI 虚 拟 磁盘 来 继续 添加 另外 一 个 iSCSI 虚拟 磁盘 


files。 
STEPE 四 在 图 17-2-23 中 直接 单 击 访 重信 钮 。 


本 新 建 iSCSI 虚拟 磁盘 向 导 
选择 iSCSI 虚拟 磁盘 位 置 


和 CS 庶 拟 磁盘 名 称 


引 碳 拍 磋 作 炎 小 


17-2-23 
STEP 加 。 如 图 17-2-24 所 示 为 此 iSCSI 谍 拟 磁盘 命名 ( 例如 files ) 后 单 击 讨 国 技 钮 。 
和 新 建 SCSI 虚拟 磁盘 向 导 m 口 头 


指定 iSCSI 虚拟 磁盘 名 称 


i5CS| 虚拟 磁盘 位 填 


i5CSI 虚拟 磁盘 大 小 


ic6) 让 灯 | 
此 棋 名 秩 和 访问 


访问 服务 中 
忆 用 蛤 证 服务 | 
确 计 | 
个 受 | 
| 
| 


图 17-2-24 


STEP 园 在 图 17-2-25 中 设置 此 虚拟 磁盘 的 大 小 { 例如 10GB ) 后 单 击 国 国 扩 钮 。 


国 :rs 
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指定 iSCSI 虚拟 磁盘 大 小 


17-2-25 


STEP 辆 ”将 此 虚拟 磁盘 指派 给 一 个 iSCSI 目标 ， 请 如 图 17-2-26 所 示 选 中 新 建 iSCSI 目 标 ， 单 


本 条 建 isCsl 点 拟 亚 二 岂 导 


分 配 iSCSI 目标 


ipAddress:192.168.10.1 IPAddres 


17-2-26 
STEP 加 。 如 图 17-2-27 所 示 为 此 iSCSI 目标 命名 ( 例如 files ) 后 单 击 入 汶 尖 坟 钮 。 


指定 目标 名 称 


图 17-2-27 


STEP 国 我 们 需 如 图 17-2-28 所 示 单 击 辆 汪 按 钮 来 指定 可 以 连接 此 iSCSI 虐 拟 磁盘 的 iSCSI 启 
动 器 ( 安装 在 节点 Nodel 与 Node2 内 ) 。 
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到 新建 SCcSl 点 Hi 丰 和 向 导 


指定 访问 服务 器 


iSCSI 记 拟 磁盘 位 置 单 击 " 适 加- 以 所 定格 访问 此 汪 CSI 店 执 碍 多 的 iSCSI 发 所 程序 


CSI 度 拟 碍 使 名 称 
i5C5SI 庶 拟 磁盘 大 小 
上 CSi 目标 


图 17-2-28 


STEP 四 在 图 17-2-29 中 的 类 型 中 选择 JP 地 址 、 输 入 Nodel 的 iSCSI 卡 IP 地 址 192.168.10.1 后 单 


二 本 四 sa。 


了 语 加 发 起 程序 1D 
选择 用 于 标识 发 起 程序 的 方法 : 


〇 查询 发 起 程序 计算 机 1D (Windows Server 2008 R2、 
Windows 7 或 :/ 莆 版 本 不 支持 MQ} 


图 17-2-29 


STEP 因 。 继续 单 击 图 17-2-30 中 的 评测 按钮 将 Node2 的 iSCSI 启动 器 加 入 到 可 连接 iSCSI 虚拟 
磁盘 的 允许 列表 内 。 
本 新 建 isCsl dBR 习 且 内 导 


指定 访问 服务 器 


17-2-30 


STEP 如 图 17-2-31 所 示 输 入 Node2 的 iSCSI 网 卡 的 IP 地 址 。 


国 :so 
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选择 用 于 标识 发 起 程序 的 方法 : 


[ 〇 查询 发 起 程序 计算 机 ID (Windows Server2008 R2_ 
Windows 7 或 以 戎 版 本 不 支持 KQh 


ES | 


图 17-2-31 


STEP 园 。 在 图 17-2-32 中 直接 单 击 盖 和 吕 人 钮 。 


取 新 建 SCSI 虚拟 磁盘 向 导 


指定 访问 服务 器 


17-2-32 


STEP E 四 。 出现 启 用 身份 验证 界面 时 直接 单 击 调 嘲 量 习 钮 。 
STEP 加 确认 图 17-2-33 的 设置 无 误 后 单 击 炳 重 按 钮 。 完 成 后 单 击 庙 壮 按 钮 。 


入 新 建 ,SCSI 直 知 理 重 启 叶 一 口 色 
确认 选择 
ECS| 虚 近 或 熏 位 置 确认 以 下 设置 正确 无 误 ， 然 后 单 击 "创建 "。 
ECSI 
虚 执 磁盘 名 称 。。 | isCS[ 志 所 天 生 位 竹 
iSCS| 虚拟 盘 大 小 |， 了 押 名: Target 
iSCSI 目标 | | 妈 红 角色， 未 群集 
中标 各 称 和 访问 | | 路 他 CANiSCSfVirtuaiDisksWfilesvhdx 
访问 是 务 器 iSCSI 二 向 硕 本 大 性 
启用 准 证 梭 务 让 名 窜 : les 
[ET 人 
上 党 | 目标 卫 性 
| ”| 才 聊 fles 
嫩 她 直 - 192.168.10.1 
转 地 过 192.168.102 


17-2-33 
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STEP 加 ”图 17-2-34 为 完成 后 的 界面 ， 上 半 部 为 所 建立 的 iSCSI 虚拟 磁盘 、 下 半 部 为 iSCSI 有 目 
标 。 


本 
本 碍 盘 
下 到 存储 油 号 外 鸭 杰 ” 老 拟 成 驮 杖 态 ”目标 名称 ”目标 状 志 。 发 局 序 ID 大 本 


共 可 4 
5 CNiSCSIVi | >xhdx lpAddress192168101 JpAddress192.168.102 512 MB 


土 次 般 新 时 加 为 2017112115 155S2013 


Target 上 险 CNiSCSIVinuaiDiskaNRlesyvhd prewape 六 区、 工 _[ 骆 了 
RE APf 加 wwTG | 

| 

名 称 ”。 展 务 作 名称 “目标 IJQN 目标 状 术 ”发 摇 程序 1D 上 次 时 录 时 同一 空 阴 拉锯 时 疗 | 


图 17-2-34 


iSCSI 目标 所 使 用 的 端口 号 码 为 TCP 3260， 在 通过 服务 器 管理 器 安装 iSCSI 目标 时 ， 系 统 
就 已 经 自动 在 Windows 防 火 墙 上 开放 了 TCP 3260 的 入 站 流量 。 


让 节点 服务 器 连接 iSCSI 虚拟 磁盘 


分 别 在 两 台 节点 服务 器 上 设置 iSCSI 启动 器 ， 以 便 通 过 它 来 连接 目标 服务 器 的 目标 ， 然 后 
通过 目标 访问 iSCSI 虚拟 磁盘 。 


STEP 贺 。” 先 到 节点 Nodel 上 【 按 开 键 切换 到 开始 菜单 3Windows 管 理工 具 2iSCSI 发 起 程序 3 
出 现 图 17-2-35 界 面 时 单 击 畏 邮 汪 虽 技 钮 来 启动 iSCSI 发 起 程序 服务 ] 。 


Microsof iSCSI 


Microsoft iSCSI 服务 尚未 运行 。 若 要 使 iSCSI 正常 工作 ， 必 须 启 动 该 服务 。 若 要 
立即 启动 该 服务 并 让 该 服务 在 每 次 计算 机 重新 启动 时 自动 启动 ， 请 单 击 * 是 "按钮 。 


图 17-2-35 


STEP 回 。 单 击 图 17-2-36 中 发 现 选 项 卡 下 的 茵 关 章 加 按钮 。 


国 42 
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若 要 添加 目标 门户 ,请 单 击 "发现 门 户 " 
有 请 过 皇上 广 的 地 直 , 处 站。 WE 


图 17-236 


STEP 回 。 在 图 17-2-37 中 输入 目标 服务 器 的 了 P 地 址 192.168.10.3 后 单 击 病 辆 按钮 。 其 默认 的 端 
口 编号 为 3260。 


图 17-2-37 


如 果 连 接 失败 的 话 请 确认 目 标 服务 器 的 Windows 防 火 墙 已 经 关 闭 或 已 经 开放 iSCSI 2 饱 
量 ( 端口 编号 为 3260 ) 。 


STEP 四 选择 图 17-2-38 中 目标 选项 卡 下 欲 连 接 的 目标 ( 例如 用 来 连接 iCSI 虚 拟 磁 盘 quorum 
的 目标 ) 后 单 击 区 国 按 钮 。 


iSCSI 发 起 程序 属性 
上 mn- RAR 
| 刘 和 人 二 加 Saeaaen， 请 键入 该 目标 的 IF 地 址 或 DIS 名 


| 网 
| 目标 加 ; | 国 
了 目标 人 


| | 名 


iqn. 1991-05. com. mi erosoft; target-files-~target 不 活动 


， 请 选择 目标 ， 然 后 单 击 


图 17-2-38 
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STEP 回 在 图 17-2-39 中 直接 单 击 轴 轴 按 钮 。 


图 17-2-39 


若 目标 服务 器 端 要 求 身份 验证 的 话 【 单 击 贰 亚 按 钮 23 久 选 启用 CHAP 登 录 2 输 入 目标 服 
务 器 端 指定 的 用 户 名 与 密码 】。 


STEP 回 图 17-2-40 为 iSCSI 目标 ( iSCSI 虚拟 磁盘 ) quorum 连 接 成 功 后 的 界面 。 


目标 上 如) : 


已 发 现 的 目标 人 6) 


[名 


| | tiqn. 1991-05. com. microsoft: target- 上 i]es~target 
1LQEE 1 335. p6mi. miLDFSSD 丰 十- 二 ar 广 et 一 QIAOUG 一 蕊 Ga 多 总 二 


17-2-40 


STEP 贺 重复 STEP 加 到 STEP 回来 连接 另 一 个 iSCSI 目标 ( 虚拟 磁盘 ) files。 
STEP 回 。 图 17-2-41 为 完成 连接 两 个 iSCSI 目标 ( 虚拟 磁盘 ) 后 的 界面 。 单 击 病 辆 按钮 来 关闭 
iCSI 发 起 程序 的 设置 界面 。 
iSCSI 发 起 程序 属性 
9 CN WiREAADUS RE 
多 本 Pass 请 键入 该 目标 的 I 地 H 或 了 DNS g 名 


| 


让 大 确 本 面 


， | iqn. 1991-05. com-microsoft:target-files-target 蝗 连 接 
| ian. 1991-05. com.mierosoft: 人 已 连接 


图 17-2-41 
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STEP 图 。 按 副 键 切换 到 开始 菜单 人 Windows 管 理工 具 3 计 算 机 管理 3 单 击 存储 之 下 的 磁盘 管 
理 ， 若 两 个 磁盘 是 处 于 脱 机 状态 的 话 ， 请 【如 图 17-2-42 所 示 选 中 磁盘 1 ( 512MB 
的 quorum ) 右 击 23 联机】。 


要 寺 昔 RE 理 2 
文件 个儿 YESIA) 查看 fV) 大 了 人 H) 
和 史 | 雪 夺目 而 | 王 虽 已 

计 基 机 入 理 (本 娩 ) 


172-42 


STEP 上 四 。 重复 前 一 个 步骤 将 磁盘 2 ( 10GB 的 files ) 联机 。 

STEP E 。 若 这 两 个 磁盘 尚未 初始 化 的 话 ， 如 图 17-2-43 所 示 选 中 这 两 个 磁盘 中 任意 一 个 右 击 
2 初始 化 磁盘 2 确认 已 匀 选 前 景 图 中 的 磁盘 1 与 2 后 单 击 病 重 坊 钮 。 
| 过 HRWNE 玛 


| xs 强 fFIA)， 查看 邦 旭 人 H) 
和 中 | 赴 硬 | 目 癌 | = 日 百 


知音 基本 状 机 真 好 (EFI 系统 分 区 ) MB 。 99MB 
简章 ”基本 “NTFS 。。 状态 珊 好 (启动 页 面 文件, 故 刀 则 娘 主 分 区 ) 5945 GB 47.53 GB 


图 172-43 


STEP 葬 ”如 图 17-2-44 通 过 【 对 着 磁盘 I 和 右 击 人 新 建 简单 卷 】 的 方法 来 创建 二 个 磁盘 分 区 、 分 
配 一 个 驱动 器 号 ( 假设 为 Q: ) 、 设 置 分 区 卷 标 ( 假设 为 quorum ) 、 格 式 化 。 


4855 国 
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4 中 | 者 吊 | 目 而 | ”日 巴 
要 计算 机 管理 (本 地 ) 


17-2-44 


STEP 蔽 重复 前 一 步骤 在 磁盘 2 建立 一 个 磁盘 区 、 给 予 驱 动 器 号 ( 假设 为 F: ) 、 设 定 磁 盘 驱 
动 器 标签 ( 假设 为 files ) 、 格 式 化 ， 图 17-2-45 为 完成 后 的 Q: 与 F: 磁 盘 。 


六 了 昌 ED 下 要) 大 和 
和 中 | 十 丽 | 目 丽 | = 互 
才 


图 17-2-45 


STEPE 四 可 直接 在 这 全 节 点 服务 器 Nodel 上 利用 文件 资源 管理 器 在 这 两 个 磁盘 内 新 建文 件 ， 
以 便 测 试 是 否 可 以 正常 访问 这 两 个 磁盘 。 

STEP 上 喇 请 到 节点 服务 器 Node2 重 复 STEP 回 。 到 STEP 回 ( 不 需要 执行 从 STEP 回 开始 的 步 
又 ， 尤 其 不 要 重新 格式 化 ， 否 则 磁盘 内 的 数据 都 将 丢失 ) 。 


在 节点 服务 器 安装 “故障 转移 群集 ”功能 


分 别 在 两 台 节 点 服务 器 安装 故障 转移 群集 (failover cluster) 功能 ， 【打开 服务 器 管理 器 
2 单 击 仪表 板 处 的 添加 角色 和 功能 2 持续 单 击 轴 汪汪 按钮 一 直到 出 现 图 17-2-46 的 选择 功能 界 


圆 4ss 
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面 时 色 选 故障 转移 群集 纺 .…】， 安 装 完成 后 再 继续 以 下 步骤 。 


验证 群集 设 定 
在 开始 建立 群集 之 前 ， 强 烈 建 议 执行 群集 验证 配置 程序 ， 它 会 检查 节点 服务 器 、 网 络 与 
存储 媒体 等 是 否 符合 群集 的 要 求 。 


STEP 和 加 到 Nodel1 或 Node2 上 【 按 习 键 切换 到 开始 菜单 3Windows 管 理工 具 仿 故障 转移 群集 
管理 器 人 如 图 17-2-47 所 示 单 击 验证 配置 】。 


图 172-47 


STEP 回 。 出 现 开始 之 前 界面 时 单 击 谓 和 尖 坟 钮 。 

STEP 回 。 在 图 17-2-48 中 输入 或 选择 要 被 验证 的 节点 Nodel 与 Node2 后 单 击 生 和 轩 控 钮 
17-2-48 中 为 完成 选择 后 的 界面 ) 。 
条 验 计 配置 向 导 
重 站 皇 肛 务 吕 或 集 


有 -- 人 


-一 一 ep 一 
1.s 
， 


站 二 ayms. 1ocal 
人 


图 17-2-48 
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STEP 四 。 在 图 17-2-49 中 选择 运行 所 有 测试 ( 推荐 ) 后 单 击 靖国 国 坟 钮 。 


选择 运行 所 有 测试 或 只 运行 选 定 的 测试 。 We 
这 些 出 试 检 查 群 集 配置 、 fnerY 了 人 PR 2 


图 运行 所 有 测试 (推荐 ) 人 A) 
O 〇 仅 运 行 选择 的 出 试 (s) 


图 17-2-49 


STEP 回 在 图 17-2-50 中 确认 要 被 验证 的 项 目 无 误 后 单 击 诗 疆 计 撤 钮 。 


1 oael. sayms. 1ocal 
Joda2. sayms. local 


图 17-2-50 


STEP 回 图 17-2-51 为 完成 验证 后 的 界面 ， 若 完全 通过 验证 ， 没 有 任何 警告 或 失败 项 目的 
话 ， 义 选 立即 使 用 经 过 验证 的 节点 创建 群集 ， 然 后 单 击 项 泣 按 钮 开始 建立 群集 ( 请 
从 下 一 个 程序 的 STEP 回 继 续 ) 。 


1， 如 果 验 证 结果 只 有 警告 事项 的 话 ， 可 能 不 会 影响 群集 的 建立 ， 例 如 若 群 集 节点 之 间 只 
通过 一 块 网 卡 来 通信 ( 没有 通过 多 块 网 卡 或 没有 teaming 功 能 等 ) 的 话 ， 则 验证 向 导 
会 列 出 警告 信息 ， 但 是 它 不 会 影响 到 群集 的 建立 。 


.如 果 验 证 结果 显示 有 其 他 未 通过 验证 的 失败 事件 的 话 ， 则 需要 排除 此 问题 后 再 重新 验 
证 ， 否 则 所 建立 的 群集 可 能 无 法 正常 工作 。 
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17-2-51 


建立 群集 


STEP 贺 。” 若 在 图 17-2-51 中 有 勾 选 立即 使 用 经 过 验证 的 节点 创建 群集 的 话 ， 则 会 启动 下 面 的 建立 群 
集 程序 。 如 果 未 勾 选 该 选项 的 话 ， 则 需要 自行 如 图 17-2-52 所 示 单 击 创建 群集 。 


17-2-52 


STEP 回 ”出 现 开始 之 前 界面 时 单 击 戎 清 加 钮 。 
STEP 圆 ” 若 通 过 单 击 图 17-2-52 中 创建 群集 的 方式 的 话 ， 则 会 出 现 图 17-2-$3 的 界面 ， 此 时 要 


输入 或 选择 要 加 入 群集 的 节点 Nodel 与 Node2 后 单 击 婴 泗 国 按钮 ( 图 17-2-53 为 完成 
选择 后 的 界面 ) 。 


鹿 人 建 群集 向导 
都 选择 服务 器 


17-2-53 
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STEP 回 ”在 图 17-2-54 中 为 此 群集 命名 ( 例如 MyCluster ) 、 设 置 群集 的 IP 地 址 ( 它 是 隶属 于 
public 网 络 的 也 了 地 址 ， 这 里 我 们 选用 192.168.8.10 ) 。 可 以 通过 此 JP 地 址 来 管理 群 
集 。 和 群集 名 称 与 卫 地 址 会 被 注册 到 DNS 服务 器 内 。 
己 创建 群集 向 导 
午 用 了 管理 本 集 的 访问 点 


到 2 前 键入 要 在 寞 理 群集 时 使 用 的 名 称 * 
适当 二 基业 名称 


址 。 无 法 自动 杏子 


大 后 | 共 地 ] 


局 目 到 本 贞 一 修 到 乡 修 DHGP 严 
上 有 昌林 人 Po 志 


图 17-2-54 


STEP 回 。 确认 图 17-2-55 中 的 群集 设置 无 误 后 单 击 国 轴 撤 钮 。 


17-2-55 


STEP 回 。 出 现 摘要 界面 时 单 击 山 讽 按 钮 。 

STEP 园 。 图 17-2-56 为 完成 后 的 界面 ， 从 界面 中 可 知 见证 磁盘 为 群集 磁盘 1 ( 群集 中 容量 为 
512MB 的 磁盘 ) 。 此 群集 的 仲裁 设置 自动 被 设置 为 会 使 用 见证 磁盘 的 节点 和 磁盘 多 
数 ， 因 为 此 群集 为 偶数 的 2 个 节点 。 
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如 果 要 改 由 其 他 磁盘 来 扮演 见证 磁盘 角色 或 更 改 其 他 仲裁 设置 的 话 : 【选中 群集 
MyCluster.sayms.local 驴 单 击 界面 右 侧 更 多 操作 忆 配 置 群集 仲裁 设置 】。 


》， 运行 好 ndows 2016 
多 人 村 二 汪 和 角色 的 可 用 性 和 或 从 运行 姑 Sarver 


图 17-2-56 
设置 两 节点 的 文件 服务 器 故障 转移 群集 


仿 设置 群集 网 络 的 用 途 


我 们 要 调整 群集 内 public、private 与 iSCSI 网 络 的 用 途 ， 

站 Public 网 络 : 我 们 要 让 客户 端 可 通过 此 网 络 来 与 群集 节点 通信 ， 也 要 让 群集 节点 之 间 
可 以 通过 此 网 络 来 通信 ( 当 作 private 网 络 的 备用 网 络 ) 。 

站 private 网 络 : 此 网 络 专 供 群 集 节点 之 间 通 信使 用 。 

站 iSCSI 网 络 : 它 是 群集 节点 利用 iSCSI 通信 协议 来 与 目标 服务 器 通信 的 专用 网 络 ， 不 
能 作为 群集 节点 之 间 通 信 的 网 络 ， 当 然 也 不 能 用 来 与 客户 端 通信 和 。 

以 下 假设 已 经 将 故障 转移 群集 管理 器 控制 台 关 闭 。 


STEP 回 按时 键 切换 到 开始 菜单 Windows 管 理工 具 信 故障 转移 群集 管理 器 人 展开 群集 纺 单 
击 网 络 。 


如 果 窗 口中 没有 看 到 所 要 管理 的 群集 的 话 ， 单 击 中 间 窗 口 的 连接 到 群集 ， 然 后 选择 要 管 
理 的 群集 。 


STEP 回 在 图 17-2-57 中 【 选中 代表 public 的 网 络 右 击 统 属 性 3 选择 允许 在 此 网 络 上 进行 群集 
网 络 通信 、 匀 选 允 许 客 户 端 通过 该 网 络 连接 】。 
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冤 改 短 转移 群集 管理 器 
文件 只。 扩 作 (A) ” 坦 看 (V) 帮助 (H) 


一 


图 17-2-57 


STEP 图 “在 图 17-2-58 中 【 对 着 代表 private 的 网 络 右 击 人 属性 3 选择 允许 在 此 网 络 上 进行 群集 
网 络 通信 、 取 消 匀 选 允许 客户 端 通过 该 网 络 连接 】。 


恰 改 训 乱 移 群 作答 理 如 


人 中 | 直 国 | 日 辣 
多 网 络 (3 


STEP 加 ”在 图 17-2-59 中 【选中 代表 iSCSI 的 网 络 右 击 纺 属 性 3 选中 不 允许 在 此 网 络 上 进行 群 
集 网 络 通信 】。 


国 4 
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图 17-2-59 
今 建立 与 测试 两 节点 的 文件 服务 器 故障 转移 群集 


在 Windows 防火 墙 上 开放 所 需 流 量 


在 建立 文件 服务 器 故障 转移 群集 之 前 ， 需 要 在 两 台 节 点 服务 器 与 Target 服 务 器 的 
Windows 防火 墙 上 开放 远程 卷 管理 流量 ， 否 则 无 法 在 群集 内 建立 共享 文件 夹 。 由 于 两 个 节点 
之 间 是 通过 public 网 络 来 通信 的 ， 因 此 首先 需要 找 出 public 网 络 的 网 络 位 置 ， 然 后 只 需 针 对 此 
网 络 位 置 来 开放 远程 卷 管理 通信 协议 即 可 。 


STEP 贺 ”请 到 Nodel 上 [【 按 导 键 切换 到 开始 莱 单 信 控制 面板 令 网 络 和 Internet 令 网 络 和 共享 中 
心 仿 由 图 17-2-60 可 知 public 网 络 的 网 络 位 置 是 域 网 络 】 。 关 闭 网 络 和 共享 中 心 。 


另 请 参阅 
Internet 迁 项 
Windows 防火 培 


17-2460 


STEP 圆 ”继续 【 按 习 键 切换 到 开始 菜单 2 控制 面板 纺 系 统 和 安全 QWindows 防 火 墙 2 如 图 17- 
2-61 所 示 单 击 允 许 应 用 或 功能 通过 Windows 防 火 墙 】。 
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如 果 要 直接 将 Windows 防 火 墙 关 闭 的 话 ， 请 通过 图 17-2-61 中 的 启用 或 关闭 Windows 防 火 
墙 ， 并 选择 将 域 网 络 位 置 的 防火 墙 关 闭 。 


17-261 


STEP 回 。 如 图 17-2-62 所 示 勾 选 远程 卷 管理 、 色 选 域 字段 后 单 击 贰 潮 按 钮 。 


STEP 四 ”继续 到 Node2 计 算 机 上 重复 以 上 的 步骤 。 
STEP 回 ”继续 到 Target 计 算 机 上 重复 以 上 的 步骤 ， 不 过 因为 Target 计 算 机 未 加 入 域 ， 所 以 要 
针对 其 所 在 的 网 络 进行 开放 ( 公用 或 专用 ) 。 
建立 文件 服务 器 故障 转移 群集 
两 个 节点 服务 器 需要 先 安装 文件 服务 器 角色 服务 。 
STEP 贺 ”请 到 任 一 节点 上 【 打开 服务 器 管理 器 人 单 击 仪表 板 处 的 添加 角色 和 功能 人 单 击 2 次 


j 国 拉锯] 。 
辆 494 
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STEP 回 在 图 17-2-63 的 选择 目标 服务 器 界面 中 先 选择 Nodel 后 单 击 靖 汪 旨 导 钮 。 


瑟 添加 角色 和 功能 向 导 
选择 目标 服务 器 Meani seek 


开始 之 前 


图 17-263 
STEP 图 ”如 图 17-2-64 所 示 在 选择 服务 器 角色 界面 下 展开 文件 和 存储 服务 纺 展 开 文 件 和 iSCSI 服 
务 2 勾 选 文件 服务 器 2.… 】， 安 装 完成 后 单 击 喘 测 塘 钮 。 


酝 添加 角色 和 功能 向 导 


选择 服务 器 角色 


开始 之 前 
安装 类 型 


STEP 罗 ”重复 STEP 贺 到 STEP 图 的 步 又， 不 过 这 次 在 选择 目标 服务 器 界面 下 改 为 选择 在 Node2 
安装 文件 服务 器 服务 。 
STEP 回 ”打开 故障 转移 群集 管理 器 ， 在 图 17-2-65 中 单 击 角色 右 侧 的 配置 角色 。 
旭 


文 伯 加。 扣 作 [。 查看 帮助 (H) 
和 中 | 由 国 |B 司 


天 龙 坟 主 订 亮 司 。 


17-2-65 


STEP 回 。 出 现 开始 之 前 界面 时 单 击 国清 国 技 钮 。 
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STEP 园 。 如 图 17-2-66 所 示 选 择 文件 服务 器 后 单 击 户 清 届 按钮 。 


图 17-266 


赤 高 可 用 性 向 导 


ea 文件 服务 器 类 型 


图 172-67 


STEP 回 在 图 17-2-68 中 为 此 文件 服务 器 命名 ( 例如 MyFileServer ) 、 设 置 了 地址 ( 隶属 于 
public 网 络 的 下地 址 ， 例 如 192.168.8.11 ) 。 客 户 端 通过 此 了 IP 地 址 来 连接 文件 服务 
器 。 文 件 服务 器 名 称 与 IP 地 址 会 被 注册 到 DNS 服务 器 内 。 
坷 高 可 用 性 向 导 


和 客户 端 访 问 点 


图 17-2-68 


国 4es 
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STEP 上 ”在 图 17-2-69 中 勾 选 要 指派 给 文件 服务 器 来 使 用 的 磁盘 ， 如 群集 磁盘 2， 它 就 是 文件 


图 17-269 


[ 
| 


17-2-70 


STEP 四 确认 图 17-2-71 中 的 设置 无 误 后 单 击 凯 丽 按 钮 。 


图 17-2-71 


STEP 上 较 ”图 17-2-72 为 完成 后 的 界面 ， 由 图 可 知 此 文件 服务 器 当前 的 所 有 者 是 Node2 ， 因 此 
当 客 户 端 连接 群集 中 的 文件 服务 器 时 是 由 Node2 来 提供 服务 的 。 
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STEP 单 击 图 17-2-73 中 文件 服务 器 MyFileServer 右 侧 的 添加 文件 共享 。 


若 两 合 节点 服务 器 、 目 标 服务 器 的 Windows 防火 墙 没有 开放 远程 卷 管理 流量 的 话 ， 此 
时 将 无 法 添加 文件 共享 。 


JileSeryer 
192.168 .6.1 


17-2-73 


STEPE 加 在 图 17-2-74 中 直接 单 击 辆 汪 加 按钮 。 


17-2-74 


国 ?es 
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STEPE 四 “在 图 17-2-75 中 单 击 请 国庆 按钮 采用 默认 值 即 可 ， 它 是 将 F:\Shares 内 的 指定 文件 夹 
设置 为 共享 文件 夹 ， 也 可 以 自行 指定 文件 夹 路 径 。 


晶 新 建 共享 向 导 


选择 服务 器 和 此 共享 的 路 径 


选择 配置 文件 服务 器 (S): 
| 服务 吉 名 称 
共享 名 称 


| 
ie 
| 
| 


图 17-2-75 
STEP 在 图 17-2-76 中 设置 共享 名 ， 例 如 database， 系 统 会 将 F:'\Shares\database 设 置 为 共享 
文件 夹 。 客 户 端 可 通过 NMyFileServer\database 来 访问 。 


局 才 生 共享 向 导 
指定 共享 名 称 


选择 配置 文件 
共享 位 置 | 
其 他 设置 


汉中 


E 刘 


图 17-2-76 


请 通过 故障 转移 群集 管理 器 控制 全 来 共享 群集 磁盘 内 的 文件 夹 ， 不 要 通过 其 他 途径 ， 例 
如 不 要 通过 文件 资源 管理 器 。 


STEP E 回 在 图 17-2-77 中 直接 单 击 国 国 加 坟 钮 。 
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配置 共享 设置 


选择 配置 文件 
共享 位 置 


图 17-2-77 


STEPE 回 在 图 17-2-78 中 直接 单 击 病 国 塘 钮 以 采用 默认 权限 设置 ( 开放 完全 控制 的 权限 给 
系统 管理 员 、 开 放 读 取 与 写 入 的 权限 给 其 他 使 用 户 等 ) 。 如 果 要 更 改 权限 的 话 可 单 


指定 控制 访问 的 权限 


17-2-78 


STEP E 四 。 出 现 确认 选择 界面 时 直接 单 击 番 亚 按 钮 ， 完 成 后 单 击 圈 测 按 钮 。 

STEPE 图 17-2-79 为 完成 后 的 界面 。 

STEPEB “到 客户 端 计算 机 测试 是 否 可 以 访问 文件 服务 器 内 共享 文件 夹 Database 内 的 文件 ， 此 
处 我 们 直接 将 图 17-2-1 中 的 域 控制 器 DC 当 作客 户 端 计算 机 来 执行 测试 工作 。 
请 到 DC 上 【 利用 域 Administrator 登 录 2 按 导 + 国 键 2 输 入 \MyFileServerdatabase 】 来 连 
接 文 件 服 务 器 的 共享 文件 夹 database， 然 后 新 建 一 个 文件 。 保存 , -由 于 Administrator 拥 
有 修改 权限 ， 因 此 这 些 新 建 、 保 存 操作 应 该 都 可 以 成 功 。 


转 so 
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图 17-2-79 


STEP 加 ”可 以 从 图 17-2-80 中 看 出 文件 服务 器 当前 的 所 有 者 为 节点 Node2， 因 此 刚才 的 访问 
操作 都 是 通过 Node2 来 提供 服务 。 现 在 可 以 试 着 【 选中 MyFileServer 右 击 纺 移动 3 
选择 最 佳节 点 或 选择 节点 】 来 将 所 有 者 改 为 Nodel， 此 时 还 是 可 以 在 客户 端 光 域 控 
制 器 DC ) 上 访问 刚才 所 建立 的 文件 ， 不 过 这 次 是 通过 Nodel 来 提供 服务 。 


如 果 将 某 个 节点 暂停 的 话 ， 此 节点 当前 所 拥有 的 角色 仍然 会 继续 提供 服务 ， 但 是 无 法 将 
由 其 他 节点 所 拥有 的 角色 转移 到 这 个 被 暂停 的 节点 。 


文本 日 。 强 fE 乔 且 0) 
和 中 | 由 大 |B 辣 - 


STEP 了 加 可 以 进一步 验证 群集 的 故障 转移 功能 : 将 当前 的 所 有 者 关机 ， 此 时 另 一 个 节点 会 
自动 检测 到 所 有 者 已 经 不 在 线 ， 因 此 它 会 接手 来 对 客户 端 提 供 服务 ， 在 客户 端 
( 域 控制 器 DC ) 上 还 是 可 以 访问 到 刚才 建立 的 文件 。 
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如 果 要 让 群集 停止 对 客户 端 提供 服务 的 话 【 选中 群集 右 击 3 更 多 操作 3 关闭 群集 】， 以 
后 可 以 通过 【 选中 群集 右 击 ( 可 能 需要 先 连 接 到 群集 ) 纺 启 动 群集 服务 】 来 重新 提供 服 
务 。 


17.3 ”在 群集 中 添加 节点 、 删 除 节点 与 删除 群集 


我 们 将 利用 17.2 节 所 建立 的 文件 服务 器 群集 来 说 明 如 何在 群集 中 添加 节点 、 删 除 节点 以 
及 将 群集 删除 。 


添加 节点 
可 以 在 17.2 节 所 建立 的 两 节点 群集 内 依照 以 下 步骤 来 添加 第 3 个 节点 。 


STEP 和 加 到 新 节点 服务 器 上 完成 所 有 设置 : 例如 安装 所 需 的 3 块 网 卡 、 安 装 操作 系统 、 设 置 
各 网 卡 的 卫 地 址 、 关 闭 Windows 防 火 墙 、 测 试 与 其 他 服务 器 之 间 的 通信 是 否 正常 、 
加 入 域 、 重 新 启用 Windows 防 火 墙 、 调 整 TCP/IP 设 置 、 到 目标 服务 器 Target 上 设置 
让 新 节点 的 CSI 发 起 程序 可 以 连接 目标 quorum 与 files ( 通过 【 分 别 选 中 这 2 个 目 
标 右 击 3 属性 3 发 起 程序 】 的 方法 ， 参 见 图 17-3-1， 以 目标 quorum 为 例 ) 、 回 到 新 
节点 服务 器 继续 设置 让 iSCSI 启动 器 连接 上 述 2 个 目标 、 安 装 故 障 转 移 群 集 功 能 、 在 
Windows 防 火 墙 上 开放 域 网 络 位置 的 远程 卷 管理 济 量 等 。 


生 
01 


Cipaddress 192168107 
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STEP 回 ”到 其 他 节点 【打开 故障 转移 群集 管理 器 控制 合 单 击 图 17-3-2 中 的 添加 节点 】s 
re 二 一 人 


4 十 问 [日 而 


色 的 高 可 用 性 ， 人 下 和 和 症 或 从 运行 adows 
Server 版 本 的 群集 夏 制 有 色 * 


图 17-3-2 


STEP 回 。 出 现 开始 之 前 界面 时 单 击 记 汪 吕 塘 钮 。 
STEP 四 。 如 图 17-3-3 所 示 选 择 Node3 后 单 击 诊 国 浊 按 钮 。 


逢 语 jg 广 点 向 导 


大 选择 服务 器 
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STEP 回 ”加 入 新 节点 后 ， 可 以 验证 整个 环境 是 否 符合 群集 要 求 。 在 图 17-3-4 中 我 们 选择 是 ， 
运行 配置 验证 测试 ， 但 以 下 省 略 验证 步骤 的 界面 ， 而 且 假设 验证 成 功 。 完 成 后 单 
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STEP 回 。 在 图 17-3-5 中 单 击 请 清国 过 钮 。 


图 17-3-5 


移 除 节点 


如 果 要 从 群集 中 移 除 某 个 节点 服务 器 的 话 ， 请 先 通过 图 17-3-6 中 间 查 看 该 节点 是 否 为 文 
件 服务 器 的 所 有 者 ， 如 果 是 ，【 如 图 17-3-6 所 示 选 中 MyFileServer 右 击 仿 移动 2 选择 最 佳节 点 
或 选择 节点 】 来 将 拥有 者 转移 到 其 他 节点 。 


接着 通过 【如 图 17-3-7 所 示 选 中 欲 删除 的 节点 右 击 纺 更 多 操作 已 逐 出 】 的 方法 来 将 此 节点 
从 群集 中 删除 。 


第 17 章 拱 建 iSCSI 文件 服务 器 故障 转移 群集 “| 时 时 


ar 
图 17-3-7 
删除 群集 
请 依照 以 下 步骤 删除 群集 : 


STEP 回 ”必须 先 删 除 群集 内 的 角色 后 才能 删除 群集 ， 因 此 【选择 图 17-3-8 中 的 文件 服务 器 
MyFileServer 仿 单 击 右 侧 的 删除 】。 


了 :VSharesVdatabase 
了 


图 17-3-8 


STEP 回 文件 服务 器 删除 后 ， 接 下 来 【如 图 17-3-9 所 示 选 中 群集 MyCluster.sayms.local 右 击 
2 更 多 操作 3 销毁 群集 3 单 击 转生 加 拉 钮 ] 。 
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第 18 章 ”系统 启动 的 疑难 排除 


若 Windows Server 2016 系 统 因 故 无 法 正常 启动 的 话 ， 可 以 尝试 利用 本 章 所 介绍 的 方法 来 


解决 问题 。 
间 选择 “最 近 一 次 的 正确 配置 ”来 启动 系统 


外 ”安全 模式 与 其 他 高 级 局 动 选项 
下 备份 与 恢复 系统 


沪 天 呈 


[贡生 站 SSKRCSRSS 光 
光 宛 区 到 谢 合营 玫 帝 | SR 
后 人 Rn 
4 爱 把 故 汪汪 SS 
RS、 
AS 
和 


< 
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18.1 选择 “最 近 一 次 的 正确 配置 ”来 启动 系统 


只 要 Windows 系 统 正常 启动 ， 用 户 也 登录 成 功 的 话 ， 系 统 就 会 将 当前 的 系统 配置 存储 到 
最 近 一 次 的 正确 配置 (Last Known Good Configuration ) 内 。 最 近 一 次 的 正确 配置 有 什么 用 处 
呢 ? 如 果 用 户 因为 更 改 系统 设置 ， 造 成 下 一 次 无 法 正常 启动 Windows 系 统 ， 他 就 可 以 选用 最 
近 一 次 的 正确 配置 来 正常 月 动 Windows 系 统 。 
系统 设 定 内 存储 着 设备 驱动 程序 与 服务 等 相关 设置 ， 例 如 哪些 设备 驱动 程序 〈 服 务 ) 需 
要 启动 、 何 时 启动 、 这 些 设备 驱动 程序 〈 服 务 ) 之 间 的 相互 依赖 关系 等 。 系 统 在 启动 时 会 根 
据 系统 设置 的 定义 来 启动 相关 的 设备 驱动 程序 与 服务 。 
系统 设置 可 分 为 当前 的 系统 配置 、 默 认 系统 配置 与 最 近 一 次 的 正确 配置 3 种 ， 而 这 些 系 
统 设置 之 闻 是 如 何 协 同 工 作 的 呢 ? 
当 计算 机 启动 时 : 
国 用 户 并 未 选择 最 近 一 次 的 正确 配置 来 启动 Windows 系 统 : 系统 会 利用 默认 系统 配 
置 来 启动 Windows 系 统 ， 然 后 将 默认 系统 配置 复制 到 当前 的 系统 配置 。 
国 用 户 选择 最 近 一 次 的 正确 配置 来 启动 Windows 系 统 : 如 果 用 户 前 一 次 使 用 计算 机 
时 更 改 了 系统 设置 ， 使 得 Windows 系统 无 法 正常 启动 的 话 ， 他 可 以 选用 最 近 一 次 
的 正确 配置 来 启动 Windows 系 统 。 启 动 成 功 后 ， 系 统 会 将 最 近 一 次 的 正确 配置 复 
制 到 当前 的 系统 配置 。 
半 用 户 登 录 成 功 后 ， 当 前 的 系统 配置 会 被 复制 到 最 近 一 次 的 正确 配置 。 
浊 用 户 登 录 成 功 后 ， 其 对 系统 设置 的 更 改 会 被 存储 到 当前 的 系统 配置 内 ， 之 后 将 计算 
机 关机 或 重新 启动 时 ， 当 前 的 系统 配置 内 的 设置 值 都 会 被 复制 到 默认 系统 配置 ， 以 
供 下 一 次 启动 Windows 系 统 时 使 用 。 


选择 最 近 一 次 的 正确 配置 来 启动 系统 ， 并 不 会 影响 到 用 户 个 人 的 文件 ， 例 如 电子 邮件 、 


相片 文件 等 ， 它 只 会 影响 到 系统 设置 而 已 。 


可 以 在 发 生 下 列 情况 时 ， 选 择 最 近 一 次 的 正确 配置 来 启动 Windows 系 统 ; 


浊 在 安装 了 新 的 设备 驱动 程序 后 导致 Windows 系统 停止 响应 或 无 法 启动 。 此 时 可 使 用 
最 近 一 次 的 正确 配置 来 启动 Windows 系 统 ， 因 为 在 最 近 一 次 的 正确 配置 内 并 没有 包 
含 此 设备 驱动 程序 ， 因 此 不 会 发 生 此 设备 驱动 程序 所 造成 的 问题 。 


国 sos 
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当 有 些 关键 性 的 设备 驱动 程序 是 不 应 该 被 禁用 的 ， 否 则 系统 将 无 法 正常 启动 。 如 果 不 
小 心 将 这 类 驱动 程序 禁用 的 话 ， 此 时 可 以 选用 最 近 一 次 的 正确 配置 来 启动 Windows 
系统 ， 因 为 在 最 近 一 次 的 正确 配置 内 并 没有 将 这 个 驱动 程序 禁用 。 


有 些 关 键 性 的 设备 驱动 程序 或 服务 若 无 法 被 启动 的 话 ， 系 统 会 自动 以 最 近 一 次 的 正确 配 


置 来 重新 启动 Windows 系 统 。 


以 下 情况 并 不 适合 使 用 最 近 一 次 的 正确 配置 来 解决 : 


浊 所 发 生 的 问题 并 不 与 系统 设置 有 关 :; 最 近 一 次 的 正确 配置 只 可 以 用 来 解决 设备 驱动 
程序 与 服务 等 系统 设置 有 关 的 问题 。 

立 虽然 系统 启动 时 有 问题 ， 但 是 仍然 可 以 启动 ， 而 且 用 户 也 能 成 功 登 录 : 则 最 近 一 次 
的 正确 配置 会 被 当前 的 系统 配置 (此 时 它 是 有 问题 的 设置 ) 所 覆盖 ， 因 此 前 一 个 最 
近 一 次 的 正确 配置 也 就 丢失 了 。 

无 法 启动 的 原因 是 硬件 故障 或 系统 文件 损坏 、 丢 失 : 因为 最 近 一 次 的 正确 配置 内 只 
是 存储 系统 设置 ， 它 无 法 解决 硬件 故障 或 系统 文件 损坏 、 丢 失 的 问题 。 


如 果 不 是 通过 以 下 步骤 启动 计算 机 ， 而 是 以 正常 方式 来 启动 计算 机 ， 那 么 即使 会 正常 出 
现 要 求 登录 的 界面 ， 也 不 要 登录 ， 和 否则 想 要 选用 的 最 近 一 次 的 正确 配置 会 被 覆盖 。 


STEP 贺 ”打开 命令 提示 符 ， 然 后 执行 以 下 指令 : 
Bcdedit /set {hbootmgr} displaybootmenu Yes 
STEP 加 重新 启动 后 将 出 现 如 图 18-1-1 的 Windows 启 动 管理 器 界面 ， 此 时 需要 在 30 秒 内 按 辆 键 。 


1. 如 果 希 望 以 后 启动 时 不 再 显示 此 界面 ， 请 再 执行 上 述 bcdedit 程 序 ， 但 是 将 最 后 的 Yes 
改 为 No。 

2. 也 可 以 通过 重新 启动 、 完 成 自我 测试 后 、 系 统 启 动 初期 立刻 按 翻 键 的 方式 ， 不 过 比 
较 不 容易 抓 准 按 呈 键 的 时 机 。 
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图 18-1-1 


STEP 图 - 如 图 18-1-2 所 示 选 择 最 近 一 次 的 正确 配置 ( 高 级 ) 


Windows Server 2016 


1 Windows 


图 18-1-2 


18.2 安全 模式 与 其 他 高 级 局 动 选项 


除了 最 近 一 次 的 正确 配置 外 ， 还 可 以 通过 图 18-1-2 中 多 个 高 级 启动 选项 来 协助 查找 与 修 
复 系统 启动 时 所 遇见 的 问题 ; 
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当 安全 模式 : 若是 因为 不 适当 的 设备 驱动 程序 或 服务 而 影响 到 Windows 系 统 正 常 局 动 
的 话 ， 此 时 也 可 以 尝试 使 用 安全 模式 来 启动 系统 ， 因 为 它 只 会 启动 一 些 基 本 服务 与 
设备 驱动 程序 (而 且 会 使 用 标准 低 分 辨 率 显 示 模 式 ) ， 例 如 筷 标 、 键 盘 、 大 容量 存 
储 设备 与 一 些 标准 的 系统 服务 ， 其 他 非 必 要 的 服务 与 设备 驱动 程序 并 不 会 被 启动 。 
进入 安全 模式 后 ， 就 可 以 修正 有 问题 的 设置 值 ， 然 后 重新 以 普通 模式 来 启动 系统 。 
例如 在 安装 了 高 级 声卡 驱动 程序 后 ，Windows 系 统 因 而 无 法 正常 启动 的 话 ， 此 时 可 
选用 安全 模式 来 启动 Windows 系 统 ， 因 为 它 并 不 会 启动 此 高 级 声卡 驱动 程序 ， 就 不 
会 因而 无 法 启动 Windows 系 统 。 利 用 安全 模式 启动 后 ， 再 将 高 级 声卡 驱动 程序 删 
除 、 禁 用 或 重新 安装 正确 的 驱动 程序 ， 然 后 就 可 以 利用 正常 模式 来 启动 Windows 系 
统 。 

站 网 络 安全 模式 : 它 与 安全 模式 类 似 ， 不 过 它 还 会 启动 网 络 驱动 程序 与 服务 ， 因 此 可 
以 连接 Internet 或 网 络 上 其 他 计算 机 。 如 果 所 发 生 的 问题 是 因为 网 络 功能 所 造成 的 
话 ， 请 不 要 选择 此 选项 。 

带 命令 提示 符 的 安全 模式 : 它 类 似 于 安全 模式 ， 但 是 没有 网 络 功能 ， 启 动 后 也 没有 
开始 菜单 ， 而 且 是 直接 进入 命令 提示 符 环 境 ， 此 时 需要 通过 命令 来 解决 问题 ， 例 如 
将 有 问题 的 驱动 程序 或 服务 停 用 。 


由 于 鼠标 还 是 可 以 使 用 ， 因 此 您 可 以 输入 MMC 后 按 番 辆 键 ， 然 后 添加 一 个 包含 设备 管 
理 器 几 入 式 管理 单元 的 控制 合 ， 就 可 以 利用 鼠标 与 设备 管理 器 来 将 有 问题 的 设备 驱动 程 
序 禁用 或 删除 。 


妆 启用 启动 日 志 : 它 会 以 普通 模式 来 启动 Windows 系 统 ， 不 过 会 将 启动 时 所 加 载 的 设 
备 驱动 程序 与 服务 信息 记录 到 %8ystemarooto%NNtbtlog.txt 文 件 内 。 

站 启用 低 分 辩 率 视频 : 它 使 用 当前 的 显卡 驱动 程序 来 启动 Windows 系 统 ， 但 是 会 以 低 
分 辨 率 (例如 800 x 600 ) 与 低 刷 新 频率 来 启动 。 在 安装 了 有 问题 的 显卡 驱动 程序 或 
显示 设置 错误 ， 因 而 无 法 正常 显示 或 工作 时 ， 就 可 以 通过 此 选项 来 启动 系统 。 

洋 最 近 一 次 的 正确 配置 (高 级 ) : 我 们 在 前 一 节 内 已 经 详细 介绍 过 了 。 

色目 录 服 务 修 复 模式 : 可 利用 它 来 还 原 Active Directory 数 据 库 ， 此 功能 只 适用 于 域 控 
制 器 。 

站 调试 模式 : 供 IT 专 业 人 员 与 系统 管理 员 来 使 用 ， 它 会 以 高 级 的 排 错 模式 来 启动 系 
统 。 

站 禁用 系统 失败 时 自动 重新 启动 : 它 可 以 让 Windows 系 统 失败 时 不 要 自动 重新 启动 。 
如 果 Windows 系 统 失败 时 自动 重新 启动 ， 但 是 重新 启动 时 又 失败 、 又 重新 启动 ， 如 
此 将 循环 不 停 ， 此 时 需要 使 用 此 选项 。 

站 禁用 驱动 程序 强制 签名 : 它 允 许 系 统 启 动 时 加 载 未 经 过 数字 签名 的 驱动 程序 。 

习 禁用 预先 启动 反 恶 意 软 件 驱动 程序 : 系统 在 开机 初期 会 视 驱 动 程 序 是 否 为 恶意 软件 
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来 决定 是 否 要 初始 化 该 驱动 程序 。 系 统 将 驱动 程序 分 类 为 以 下 几 种 。 

国 ， 好 : 驱动 程序 已 经 过 签署 ， 且 未 遭 窜改 。 

国 差 : 驱动 程序 已 被 识别 为 恶意 代码 。 

国 差 ， 但 启动 需要 : “驱动 程序 已 被 识别 为 恶意 代码 ， 但 计算 机 必须 加 载 此 驱动 程 
序 才 能 成 功 开机 。 

国 未 知 : 此 驱动 程序 未 经 过 “恶意 代码 检测 应 用 程序 ”的 保证 ， 也 未 经 “提前 启动 
反 恶 意 软 件 引 导 启 动 驱 动 程序 ”来 分 类 。 


系统 启动 时 ， 默 认 会 初始 化 被 判断 为 好 、 差 或 “ 差 ， 但 启动 需要 ”的 驱动 程序 ， 但 不 会 
初始 化 被 判断 为 差 的 驱动 程序 。 可 以 在 开机 时 来 选择 此 选项 ， 以 便 禁 用 此 分 类 功能 。 


如 果 要 更 改 相关 设置 的 话 : 
统 提 前 启动 反 恶意 软件 ]。 


到 键 3 执 行 gpeditmsc 仿 计算 机 配置 纺 管 理 模板 令 系 


18.3 备份 与 恢复 系统 


存储 在 磁盘 内 的 数据 可 能 会 因为 和 天灾、 人祸 、 设 备 故 障 等 因素 而 丢失 ， 因 而 造成 公司 或 
个 人 的 严重 损失 ， 但 是 只 要 平常 定期 备份 〈backup) 磁盘 ， 并 将 其 存放 在 安全 的 地 方 ， 之 后 
即使 发 生 上 述 意 外 事故 ， 仍 然 可 以 利用 这 些 备份 来 迅速 恢复 数据 与 让 系统 正常 工作 。 


可 以 通过 Windows Server Backup 来 备份 磁盘 ， 而 它 支持 以 下 两 种 备份 方式 : 


浊 完整 服务 器 备份 : 它 会 备份 这 台 服 务 器 内 所 有 磁盘 分 区 (volume ) 内 的 数据 ， 也 就 
是 会 备份 所 有 磁盘 〈(C:、D:、.…) 内 的 所 有 文件 ， 包 含 应 用 程序 与 系统 状态 。 可 以 利 
用 此 备份 来 对 整 台 计算 机 恢复 ， 包 含 Windows Server 2016 操 作 系统 与 所 有 其 他 文件 。 

漳 自 定 义 备份 : 可 以 选择 备份 系统 保留 分 区 、 常 规 磁盘 分 区 (例如 C:、D:) ， 也 可 以 
选择 备份 这 些 磁盘 分 区 内 指定 的 文件 ;- 还 可 以 选择 备份 系统 状态 ; 甚至 可 以 选择 裸 
机 还 原 (bare metal recovery ) 备份 ， 也 就 是 它 会 备份 整个 操作 系统 ， 包 含 系统 状 
态 、 系 统 保留 磁盘 分 区 与 安装 操作 系统 的 磁盘 分 区 ， 日 后 可 以 利用 此 裸 机 还 原 备份 
来 还 原 整 个 Windows Server 2016 操 作 系 统 ;，、 


Windows Server Backup 提 供 以 下 两 种 选择 来 执行 备份 工作 : 
浊 备份 计划 : 利用 它 来 安排 备份 计划 , -以便 在 每 天 指定 的 日 期 与 时 间 到 达 时 自动 执行 
备份 工作 。 备 份 目的 地 (存储 备份 数据 的 位 置 ) 可 以 选择 本 机 磁盘 、USB 或 IEEE 


国 sz 
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1394 外 接 式 磁 盘 、 网 络 共 享 文件 夹 等 。 
尝 一 次 性 备份 : 也 就 是 手动 立即 执行 单 次 备份 工作 ， 备 份 目的 地 可 以 选择 本 地 磁盘 、 
USB 或 IEEE 1394 外 接 式 磁 盘 、 网 络 共 享 文件 夹 ， 如 果 计 算 机 内 有 安装 DVD 刻录 机 的 


话 ， 还 可 以 备份 到 DVD 内 。 


请 先 添 加 Windows Server Backup 功 能 : 【打开 服务 器 管理 器 了 单 击 仪表 板 处 的 添加 角色 
和 功能 2 持续 单 击 釉 员 遇 按钮 一 直到 出 现 图 18-3-1 的 选择 功能 界面 时 勾 选 Windows Server 


Backup 亿 ...】。 


} 国 Windows PowerShell 2 个 已 安 半 , 共 5 个 “| 
器 Windows Process Activation Service ， 
服务 


排 程 执行 完整 服务 器 备份 
以 下 说 明 如 何 排 定时 程 来 执行 完整 服务 器 备份 ， 当 所 排 定 的 日 期 与 时 间 到 达 时 ， 系 统 就 
会 开始 执行 备份 工作 。 
STEP 贺 “请 【 按 弹 键 切 换 到 开始 菜单 3Windows 管 理工 具 人 Windows Server Backup 】， 如 图 
18-3-2 所 示 单 击 备份 计划 。 


园 wbadmin - [Windows Server Backup (本 地 )\ 本 地 备份 ] 
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如 果 要 备份 另 一 全 服务 器 的 话 ， 请 通过 按 [ 于 + 国 甸 2 执行 MMC3 添 加 Windows Server 
Backup 绕 入 式 管理 单元 】 的 方法 来 选择 其 他 服务 器 。 


STEP 回 。 出 现 开始 界面 时 单 击 国 别 加 拉 钮 。 
STEP 图 ”假设 在 图 18-3-3 中 选择 整个 服务 器 ( 推荐 ) 备份 。 


图 18-33 


STEP 四 在 图 18-3-4 中 选择 每 日 一 次 或 每 日 多 次 ， 并 选择 备份 时 间 。 


图 18-3-4 中 的 时 间 是 以 半 小 时 为 单位 的 ， 如 果 要 改 用 其 他 时 间 单 位 的 话 ， 例 如 要 选择 下 
午 9:15 备 份 ， 则 可 以 使 用 wbadmin 命 令 来 备份 。 
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STEP 回 在 图 18-3-5 中 选择 存储 备份 的 位 置 , 
冯 备份 到 专用 于 备份 的 硬盘 (推荐 ) : 这 是 最 安全 的 备份 方式 ， 但 是 注意 这 种 方式 会 
将 此 专用 硬盘 格式 化 ， 专 用 硬盘 内 现 有 数据 都 将 丢失 。 
站 备份 到 卷 : 此 卷 内 的 现 有 数据 仍然 会 被 保留 ， 不 过 该 卷 的 运行 效率 会 降低 (最 多 会 
降低 200% ) 。 建 议 不 要 将 其 他 服务 器 的 数据 也 备份 到 此 卷 。 
备份 到 共享 网 络 文件 天 : 可 以 备份 到 网 络 上 其 他 计算 机 的 共享 文件 夹 内 。 


图 18-3-5 


STEP 回 。 在 图 18-3-6 勾 选 备 份 目的 地 磁盘 后 单 击 番 辆 呈 按 钮 。 如 果 磁 盘 没有 显示 在 界面 上 的 


话 ， 请 先 单 击 右 下 方 的 大 汪 请 有 汪 关 汪汪 | 扩 钮 来 选择 。 


大 小 已 用 空间 下 盘 中 的 卷 
60.00 GB ”228.51 MB EN 
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如 果 选 择 多 个 磁盘 ( 例如 USB、IEEE 1394 外 接 式 磁 盘 ) 来 存储 备份 的 话 ， 则 它 具备 离 


站 存放 ( store disk offsite ) 也 就 是 说 系统 将 其 备份 到 第 1 个 磁盘 内 后 ， 就 可 以 将 
此 磁盘 拿 到 其 他 地 点 存放 ， 下 一 次 备份 时 ， 系 统 会 自动 备份 到 第 2 个 磁盘 内 ， 再 将 第 2 个 
磁盘 拿 到 其 他 地 点 存放 ， 并 将 之 前 的 备份 三 (第 1 个 磁盘 ) 带 回来 装 好 ， 以 便 让 下 一 
次 备份 时 可 以 备份 到 这 个 磁盘 内 。 这 种 轮流 离 站 存放 的 方式 ， 可 以 让 数据 多 一 份 保障 。 


STEP 贺 。 备份 目的 地 磁盘 ( 此 范例 为 E: ) 会 被 格式 化 ， 其 中 现 有 数据 都 将 被 删除 ， 故 目的 地 
磁盘 不 可 以 被 包含 在 要 被 备份 的 磁盘 内 ， 然 而 因为 我 们 选择 的 完整 服务 器 会 备份 所 
有 磁盘 ， 也 就 是 包含 备份 目的 地 磁盘 ( E: ) ， 故 会 出 现 图 18-3-7 的 警告 界面 ， 必 须 
单 击 因而 按钮 来 将 此 磁盘 排除 。 


Windows Server Backup 


已 将 卷 新 加 卷 全 :) 包含 在 要 备份 项 目 列表 中 。 但 是 记 位 于 已 指定 作为 备 
份 存储 目标 的 磁盘 磁盘 3 (VMware, VMware Virtual S SCSI Disk 
Device)j 上 。 你 希望 从 备份 器 除 沪 卷 吗 ? 


图 18.3-7 


STEP 加 ”图 18-3-8 中 提醒 目的 磁盘 会 被 格式 化 ， 因 此 其 中 所 有 数据 都 将 被 删除 ， 而 且 为 了 便 
于 脱 机 存放 ( offsite storage ) 与 确保 备份 的 完整 性 ， 此 磁盘 将 专用 于 存储 备份 ， 因 
此 格式 化 后 ， 不 会 被 赋予 驱动 器 号 ， 也 就 是 在 文件 资源 管理 器 内 看 不 到 此 磁盘 。 确 


认 后 单 击 靖国 汪 吕 坟 钮 。 


Windows Server Backup 


完成 此 向 导 时 ， poreootprooaaam 和 
确保 备份 的 完整 性 ， See 纯 桂 专用 于 生 久 备 从 ， 并 目 不 全 在 文件 次 
源 管理 器 中 显示 此 磁盘 。 


单 击 "是 "以 使 用 所 选 磁盘 。 


18-3-8 


STEP 贺 ”由 图 18-3-9 中 的 标签 字段 可 看 出 系统 会 为 此 备份 设置 一 个 识别 标签 ， 通 过 记录 此 标签 ， 
后 续 进行 还 原 工作 时 便 可 以 很 容易 地 通过 这 个 标签 来 辨识 备份 。 单 击 蕊 大 按钮 。 


辆 5+s 
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X 


5 大 小 ER 全 
二 Sererl20T7I2TT1B20DIXKC 600068 22861MB 
和 


STEP 四 。 出 现 摘要 界面 时 单 击 讽 测 技 钮 。 
STEPE。 当 计划 的 时 间 到 达 时 ， 系 统 便 会 开始 备份 ， 可 以 通过 图 18-3-10 来 查看 当前 的 备份 


进度 。 


2017112717 2130 第 2 个 避 490 , 共 3 个 从 


图 18-3-10 


计划 自 定 义 备 份 
可 以 自行 选择 要 备份 的 项 目 ， 然 后 计划 执行 备份 这 些 项 目 ， 其 配置 方式 与 计划 完整 备份 
类 似 ， 不 过 在 图 18-3-11 中 需 选 择 自 定义 。 


图 18-3-11 
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然后 在 图 18-3-12 背 景 图 中 单 击 引 按 钮 、 在 前 景 图 中 选择 欲 备份 的 项 目 ， 例 如 裸 机 


恢复 、 系 统 状 态 、 系 统 保留 区 、 一 般 磁 盘 区 或 磁盘 区 内 的 档案 。 


男 518 


to 备份 计划 向 导 去 
< 选择 要 备份 的 项 
和 记 33 硕 X 
机 这 党 的 中 过 杠 指定 要 包 全 在 备份 中 的 顺 目 。 你 的 当前 备份 中 所 包含 的 项 目 已 默认 
指定 备份 对 间 
插 定 目标 类 号 人 
确认 [ap FEI 系统 分 区 
语 世 本 地 磁盘 人 :) 
扩 要 | 由本 Saeoycle Bin 
| 由 口 河 口 wsterstorage 
| 四 [本 PertLo 
| 由 上 


Onvs 5 
二 二 人 委 伯 隐 持 他 克利 从 让 得 订 ， 则 选择 该 选项 。 选择 该 选项 将 更 新 每 个 文件 的 备 


”的 VSS 副本 备份 如 ) 
最 福特 产品 各 份 已 各 份 的 区 上 的 应 用 程序 ， 请 选择 该 选项 。 选 择 该 选项 将 保留 应 


图 18-3-13 
在 图 18-3-13 前 景 图 中 可 以 选择 : 


浊 VSS 完 整备 份 : 如 果 没 有 使 用 其 他 备份 软件 来 备份 磁盘 内 的 应 用 程序 的 话 ， 请 选择 
此 选项 。 确 定 没有 使 用 其 他 备份 软件 来 备份 磁盘 内 的 应 用 程序 才 选 择 此 选项 ， 因 为 
它 会 破坏 应 用 程序 日志 文件 。 

洁 VSS 副 本 备份 : 如 果 使 用 其 他 备份 软件 来 备份 磁盘 内 的 应 用 程序 的 话 ， 则 此 选项 可 
保留 应 用 程序 日 志文 件 。 


第 18 章 系统 启动 的 疑难 排除 “| 是 国 


VSS ( Volume Shadow Copy Service， 卷 影 副本 服务 ) 让 用 户 可 以 访问 正在 备份 的 文件 ， 
而 且 备份 时 不 会 跳 过 已 被 用 户 打开 的 文件 。 


一 次 性 备份 


可 以 如 图 18-3-14 背 景 图 所 示 单 击 一 次 性 备份 来 手动 立即 执行 一 次 备份 工作 ， 然 后 在 前 景 
图 选择 备份 方式 : 


计划 的 备份 选项 : 如 果 还 有 计划 备份 在 的 话 ， 此 时 可 以 选择 与 该 计划 备份 相同 的 设 
置 来 备份 ， 这 些 设 置 包括 完整 服务 器 备份 或 自 定义 备 份 、 备 份 时 间 、 备 份 目 的 磁盘 
等 。 

半 其 他 选项 : 重新 选择 备份 设置 。 


电 wbedmin - [Windows Server Backup (本 地 \ 本 地 备份 ] 
文件 (损人 FA) 坦 看 (V) ”帮助 (H} 


图 18-3-14 


一 次 性 备份 的 步骤 与 计划 备份 类 似 ， 如 果 在 图 18-3=14 中 选择 其 他 选项 的 话 ， 还 可 以 如 图 
18-3-15 所 示 选 择 备 份 到 DVD 或 远程 共享 文件 夹 。 


图 18-3-15 
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可 以 利用 之 前 通过 Windows Server Backup 所 建立 的 备份 来 恢复 文件 、 目 录 、 应 用 程序 、 
卷 〈 例 如 D:、E: 等 ) 、 操 作 系统 或 整 台 计算 机 。 


恢复 文件 、 目 录 、 应 用 程序 或 卷 
STEP 贺 单 击 图 18-3-16 中 的 恢复 …。 


图 18-3-16 


sTEP 四 在 图 18-3-17 中 选择 备份 档 的 来 源 ( 存储 位 置 ) 后 单 击 靖 和 按钮。 


TI 


坚持 份 昌 期 要 用 于 恢复 的 人 存在 嘱 个 们 是 
SERVERDOD 


单 击 "下 一 步 " 粥 纺 . 


图 18-3-17 


STEP 回 。 在 图 18-3-18 通 过 日 期 与 时 间 来 选择 之 前 的 备份 后 单 击 病 和 加 坟 钮 。 


国 s> 
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图 18-3-18 


sTEP 回 在 图 18-3-19 可 选择 恢复 文件 和 文件 夹 、 应 用 程序 、 卷 或 系统 状态 后 单 击 国 用 人 
钮 ， 这 里 假设 选择 恢复 文件 和 文件 夹 


附注 翁 
如 果 要 恢复 应 用 程序 与 其 数据 的 话 ， 该 应 用 程序 要 兼容 于 Windows Server Backup。 


图 18-3-19 


STEP 回 在 图 18-3-20 中 选择 要 恢复 的 文件 或 文件 夹 后 单 击 病 国 痢 习 钮 。 
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STEP 回 ”在 图 18-3-21 中 选择 恢复 目的 地 、 目 的 地 已 存在 该 文件 或 文件 夹 时 的 处 理 方式 、 是 
否 还 原 其 原 有 的 安全 设置 ( 权限 ) 。 


Ta 


Eee 


图 18-3221 


STEP 回 。 出 现 确认 界面 时 单 击 喘 喇 按 钮 。 
STEP 回 。 查看 恢复 进度 界面 ， 完 成 恢复 后 单 击 喘 渊 按钮 。 


还 原 操作 系统 或 整 台 计 算 机 
可 以 选择 以 下 两 种 方式 之 一 来 还 原 操作 系统 或 整 台 计 算 机 : 


计算 机 启动 时 按 灵 键 ， 然 后 使 用 高 级 启动 选项 中 的 修复 计算 机 。 
忆 利用 Windows Server 2016 DVD、U 盘 启动 计算 机 ， 选 择 修复 计算 机 。 


国 :2 


第 18 章 系统 启动 的 疑难 排除 ”| 是 国 


人 利用 “高 级 启动 选项 ” 
请 准备 好 包含 操作 系统 《〈 裸 机 还 原 ) 或 完整 服务 器 的 备份 ， 然 后 依照 以 下 的 步骤 来 还 原 
《假设 是 使 用 裸 机 还 原 备份 ) 。 
STEP 和 加 ”打开 命令 提示 符 窗口 ， 然 后 执行 以 下 命令 : 
Bcdedit /set {bootmgr} displaybootmenu Yes 


STEP 贺 ”重新 启动 后 将 出 现 Windows 启 动 管理 器 界面 ， 请 在 30 秒 内 按 僵 键 。 
STEP 图 ”如 图 18-3-22 所 示 选 择 修复 计算 机 后 按 曙 全 让 刍 


图 18-3-22 


STEP 回 ”在 图 18-3-23 中 单 击 疑 难 解 答 。 


图 18-3-23 
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STEP 图 ”在 图 18-3-24 中 单 击 系统 映像 恢复 。 


图 18-3-24 


STEP 回 ”在 图 18-3-25 中 单 击 系统 管理 员 账 户 Administratoro 


图 18-3-25 


STEP 贺 在 图 18-3-26 中 输入 Administrator 的 密码 后 单 击 吃 于 


图 18-3-26 


STEP 回 ”在 图 18-3-27 中 可 以 选择 系统 自行 找到 的 最 新 可 用 备份 来 还 原 ， 也 可 通过 选择 系统 
映像 来 选择 其 他 备份 ， 例 如 位 于 网 络 共享 文件 夹 、USB/IEE 1394 外 接 式 磁 盘 ( 可 
能 需 安装 驱动 程序 ) 内 的 备份 。 完 成 后 单 击 按钮 。 
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STEP 回 。 在 图 18-3-28 中 单 击 盖 和 中信 钮 。 


图 志 8287 运 


放 


1 钮 。 完成 后 ， 默认 会 重新 启动 ， 若 不 想 重 新 启动 的 话 ， 


STEPED 在 图 18-3-29 中 单 击 
请 先 通过 图 18-3-28 中 的 上 


18-3-29 
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人 > 利用 [Windows Server 2016 DVD 或 U 盘 启 动 计 算 机 | 

准备 好 Windows Server 2016 DVD、 包 含 操 作 系 统 〈 裸 机 还 原 ) 或 完整 服务 器 的 备份 ， 然 
后 依照 以 下 步骤 来 还 原 〈 假 设 是 使 用 裸 机 还 原 备份 ) : 
STEP 上 加 ”将 Windows Server 2016 DVD 放 到 光驱 内 或 U 盘 连接 到 设备 、 从 DVD 或 U 盘 启动 计 


算 机 。 
STEP 加 在 图 18-3-30 中 单 击 ， 


图 18-3-30 


STEP 图 在 图 18-3-31 中 单 击 左下 角 的 修复 计算 机 。 


24 Windows 安装 程序 < 日 医 到 


-| Windows Server 2016 


图 18-3-31 


STEP 四 ”在 图 18-3-32 中 单 击 疑 难 解 答 。 
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图 18-3-32 


STEP 回 ”在 图 18-3-33 中 单 击 系统 映像 恢复 。 


@@ 局 级 选项 
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STEP 回 “在 图 18-3-34 中 选择 欲 修 复 的 系统 。 
@@ 系统 映像 恢复 


图 18-3-34 


STEP 加 ”在 图 18-3-35 中 可 选择 系统 自行 找到 的 最 新 可 用 备份 来 还 原 ， 也 可 以 通过 选择 系统 
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映像 来 选择 其 他 备份 ， 例 如 位 于 网 络 共 享 文件 夹 、USB/IEE 1394 外 接 式 磁 盘 ( 可 
能 需 安装 驱动 程序 ) 内 的 备份 。 完 成 后 单 击 荆 肘 强 撤 钮 。 


STEP 回 。 在 图 18-3-36 中 单 击 国 国庆 扩 钮 。 


若 勺 选 图 中 格式 化 并 重新 分 区 磁盘 的 话 ， 其 中 现 有 数据 都 会 被 删除 ， 不 过 包含 备份 的 磁 
盘 会 被 自动 排除 ， 如 果 要 另外 增加 被 排除 的 磁盘 的 话 ， 单 击 恩 绽 库 国 撤 钮 。 
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STEP 回 。 在 图 18-3-37 中 单 击 评 六 按钮 。 完 成 后 ， 默 认 会 重新 启动 ， 若 不 想 重新 启动 的 话 ， 
请 先 通 过 图 18-3-36 中 的 往 炙 按钮 来 设置。 


图 18-3-37 


sTEPE 四 在 图 18-3-38 中 单 击 国 国 以 钮 。 


单 击 图 18-3-39 背 景 图 的 配置 性 能 设置 ， 就 可 通过 前 景 图 来 针对 备份 性 能 做 高 级 设置 。 以 
下 设置 仅 适 用 于 备份 包含 所 有 卷 ， 如 果 备 份 只 包含 系统 状态 、 文 件 或 文件 夹 ， 则 这 些 设 置 不 
适用 : 


半 普通 备份 性 能 : 建立 备份 的 时 间 会 与 所 备份 的 数据 量 成 正比 。 这 种 备份 方式 不 会 降 
低 服务 器 的 运行 性 能 。 

站 快速 备份 性 能 : 所 选 磁盘 内 ， 只 有 新 建 的 文件 或 有 改动 的 文件 才 会 被 备份 ， 以 前 备 
份 过 但 没有 改动 过 的 文件 不 再 备份 。 这 种 增 量 备份 (incremental backup ) 的 方式 ， 
其 备份 速度 较 快 ， 但 是 跟踪 文件 变动 状态 的 操作 会 降低 整体 系统 性 能 。 

匀 自 定 义 : 可 以 针对 不 同 的 磁盘 选择 不 同 的 备份 方式 (完整 备份 或 增 量 备份 ) 。 
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